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O'Reilly Media, Inc. 介 绍 


O’Reilly Media 通过 图 书 、 杂 志 、 在 线 服 务 、 调 查 研 究 和 会 议 等 方式 传播 创新 知识 。 
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会 对 新 科技 的 应 用 。 作 为 技术 社区 中 活跃 的 参与 者 ，O’Reilly 的 发 展 充满 了 对 创新 的 
倡导 、 创 造 和 发 扬 光 大 。 























O’Reilly 为 软件 开发 人 员 带 来 革命 性 的 “动物 书 ”; 创建 第 一 个 商业 网 站 (GNN) ; 组 
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O'Reilly 的 会 议和 峰会 集聚 了 众多 超级 极 客 和 高 瞻 远 瞩 的 商业 领袖 ， 共 同 描绘 出 开创 
新 产业 的 革命 性 思想 。 作 为 技术 人 士 获 取信 息 的 选择 ，O"Reilly 现在 还 将 先锋 专家 的 
知识 传递 给 普通 的 计算 机 用 户 。 无 论 是 通过 图 书 出 版 、 在 线 服 务 或 者 面授 课程 ， 每 一 
项 O'Reilly 的 产品 都 反映 了 公司 不 可 动摇 的 理念 一 信息 是 激发 创新 的 力量 。 





















































业界 评论 
“O’Reilly Radar 博客 有 口 绰 碑 。” 
Wired 





“O’Reilly 凭借 一 系列 ( 真希 望 当 初 我 也 想到 了 ) 非凡 想法 建立 了 数 百 万 美元 的 业务 。” 


Business 2.0 





“O’Reilly Conference 是 聚集 关键 思想 领袖 的 绝对 典范 。 
一 一 CRN 


“一 本 OReilly 的 书 就 代表 一 个 有 用 、 有 前 途 、 需 要 学 习 的 主题 。 


Trish Times 





“Tim 是 位 特 立 独 行 的 商人 ， 他 不 光 放 眼 于 最 长 远 、 最 广阔 的 视野 ， 并 且 切 实地 按照 
Yogi Berra 的 建议 去 做 了 :“ 如 果 你 在 路 上 这 到 岔路 口 ， 走 小 路 (岔路 ) ”回顾 过 去 ， 
Tim 似乎 每 一 次 都 选择 了 小 路 ， 而且 有 几 次 都 是 一 闪 即 逝 的 机 会 ， 尽 管 大 路 也 不 错 。” 


Linux Journal 





献 给 那些 帮 我 恢复 身体 健康 的 医学 专家 一 一 他 们 聆听 了 我 的 
疾苦 并 找到 了 解决 方法 。 是 的 ， 我 确实 需要 听从 他 们 的 建议 。 身 
体 健 康 是 一 件 非 常 棒 的 礼物 。 
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葛 索 软件 、 病 毒 、 分 布 式 拒绝 服务 (distributed denial-of-service，DDoS) 攻击 、 中 间 人 攻 
击 、 安 全 漏洞 ， 这 些 词 都 会 勾 起 参与 应 用 程序 管理 的 人 璐 梦 般 的 回忆 。 现 在 已 经 到 了 这 样 
的 地 步 : 在 处 理 关 乎 应 用 程序 或 其 相关 数据 安全 的 问题 时 ， 任 何人 都 会 变 得 风声 蕉 噢 、 极 
其 保守 。 你 肯定 不 希望 承担 应 用 程序 安全 相关 的 责任 ， 但 这 是 在 所 难免 的 。 


任何 一 种 安全 失误 所 造成 的 灾难 性 后 果 都 会 困扰 你 的 余生 ， 让 你 承受 极 大 的 压力 。 与 大 多 
数 错误 不 同 的 是 ， 你 不 能 将 这 种 错误 隐藏 起 来 ， 因 为 它 会 出 现在 所 有 人 都 能 看 到 的 行业 媒 
体 上 。 虽 然 你 的 名 字 不 会 成 为 安全 事故 的 代名词 ， 但 安全 问题 仍 会 给 你 带 来 很 多 麻烦 ， 比 
如 官司 缠身 、 失 业 等 。 那 么 应 该 如 何 处 理 这 个 问题 呢 ? 


逃避 并 不 能 解决 问题 ， 至 少 不 是 长 期 的 解决 方案 。 本 书 并 不 打算 介绍 我 们 可 能 会 遇 到 的 每 
一 种 安全 威胁 或 解决 它们 的 方法 ， 而 是 提供 独立 解决 任何 一 种 安全 问题 所 需要 的 指导 原则 
和 工具 ， 让 你 看 到 成 功 的 希望 。 本 书 的 真正 目的 是 教 你 如 何 将 事情 做 对 ， 从 而 可 以 安心 地 
睡 个 好 觉 。 


本 书 预览 


本 书 会 提供 处 理应 用 程序 安全 问题 所 需 的 资源 。 是 的 ， 你 还 会 在 书 中 看 到 一 些 关 于 平台 的 
信息 ， 因 为 浏览 器 是 在 特定 的 平台 上 运行 的 。 此 外 ， 你 可 能 会 看 到 使 用 桌面 端 应 用 程序 时 
出 现 的 一 些 安全 问题 ， 因 为 这 些 问题 在 这 两 种 应 用 领域 中 都 存在 。 但 是 ， 不 论 这 些 应 用 程 
序 在 什么 地 方 运行 ， 本 书 会 聚焦 于 Web 应 用 程序 的 安全 性 。 你 在 本 书 中 读 到 的 内 容 不 仅 会 
涉及 最 新 的 智能 手机 ， 而 且 会 涉及 老 旧 的 台式 计算 机 等 各 种 设备 。 本 书 会 将 内 容 分 解 为 以 
下 几 个 部 分 ， 每 个 部 分 都 会 协助 你 在 安全 性 建设 的 道路 上 走 好 相应 的 一 步 。 
。 第 一 部 分 
无 计划 不 成 事 。 但 在 计算 机 行业 中 ， 一 些 最 严重 灾难 的 发 生 恰恰 是 由 于 精 糕 的 计划 ， 而 
不 是 没有 计划 。 这 一 部 分 会 帮助 你 为 公司 创建 良好 的 安全 计划 ， 即 一 个 考虑 到 所 有 最 新 
的 用 户 设备 和 用 户 需求 的 计划 。 此 外 还 将 讨论 第 三 方 支持 的 必要 性 ， 因 为 我 们 不 得 不 面 
对 这 样 的 事实 :在 复杂 的 环境 下 确实 很 难 独自 创建 出 安全 的 应 用 环境 。 这 些 内 容 有 助 于 
定位 正确 的 第 三 方 支持 ， 并 确保 你 能 收获 自己 想 要 的 价值 。 
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第 二 部 分 
如 今 的 应 用 程序 开发 都 会 依赖 第 三 方 代码 库 、API 和 微服 务 。 这 一 部 分 将 有 助 于 你 思考 
码 问 题 。 你 不 会 读 到 太 多 涉及 位 或 字 节 层面 的 内 容 ， 但 会 找到 将 这 些 元 素 成 功 集 成 到 
应 用 程序 中 的 一 些 技巧 。 这 一 部 分 会 帮助 你 驾驭 应 用 程序 ， 而 不 是 被 它们 所 驾驭 。 

第 三 部 分 
测试 应 用 程序 安全 性 的 方法 有 很 多 种 。 比 如 ， 你 可 以 创建 自己 的 测试 套件 或 者 使 用 其 他 
人 创建 的 套件 。 第 三 方程 序 也 能 为 你 做 测试 。 也 许 你 想 要 知道 怎样 才能 最 好 地 整合 不 同 
的 测试 策略 ， 以 确保 整个 应 用 程序 被 完整 覆盖 。 这 一 部 分 可 以 回答 你 所 有 关于 现代 化 测 
试 策略 的 问题 ， 并 介绍 如 何 让 工作 更 有 效率 。 

第 四 部 分 

应 用 程序 在 某 个 时 间 点 被 发 布 到 生产 环境 中 ， 并 且 运 行 良好 。 一 些 应 用 程序 会 以 这 样 的 
方式 持续 运行 多 年 而 不 需要 适当 的 维护 。 不 幸 的 是 ， 现 代 的 应 用 程序 开发 需要 不 断 更 
新 ， 因 为 黑客 在 不 停 地 想 出 新 的 策略 来 入 侵 系统 。 而 你 所 使 用 的 所 有 第 三 方 库 、API 和 
微服 务 的 更 新 则 让 情况 变 得 更 加 混乱 。 这 一 部 分 将 为 你 提供 一 张 走出 “更 新 迷宫 ”的 地 
图 ， 以 便 应 用 程序 的 各 部 分 能 够 按照 你 最 初 的 设想 保持 正常 运行 。 

第 五 部 分 

安全 威胁 在 持续 地 演变 ， 这 意味 着 你 需要 一 些 方法 来 持续 跟 进 。 第 一 种 方法 是 跟踪 这 些 
安全 威胁 。 当 然 ， 如 果 你 跟踪 每 一 种 威胁 ， 那 将 一 事 无 成 。 这 一 部 分 描述 了 你 能 用 来 各 
免 信息 泛滥 的 一 些 技巧 。 第 二 种 方法 是 接受 额外 的 培训 。 事 实 上 ， 整 个 公司 都 需要 一 些 
培训 来 了 解 最 新 的 安全 问题 和 处 理 它们 的 技术 。 这 一 部 分 还 以 一 种 所 有 公司 都 能 采用 的 
方式 探讨 了 安全 培训 的 要 求 ， 即 使 是 只 有 一 个 人 的 公司 或 者 创业 公司 也 同样 适用 。 
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阅读 须知 


本 书 的 读者 可 以 是 拥有 任何 头衔 的 人 ， 比 如 网 页 设计 师 、 前 端 开发 人 员 、UI 设计 师 、 用 户 
体验 设计 师 、 交 互 设计 师 、 美 术 总 监 、 内 容 策略 师 、 开 发 运营 人 员 、 产 品 经 理 、 搜 索引 擎 











优化 专家 、 数 据 科 学 家 、 软 件 工程 师 或 者 计算 机 科学 家 。 大 家 都 有 一 个 共同 的 需求 ， 即 创 
建安 全 的 Web 应 用 程序 ， 让 用 户 能 以 有 意义 的 方式 与 之 交互 。 这 些 人 员 都 是 之 前 开发 过 
Web 应 用 程序 的 专业 人 士 ， 可 能 真正 需要 的 是 重新 了 解 新 形势 下 的 安全 技能 。 这 种 新 形势 
指 的 是 大 部 分 应 用 程序 是 被 非 传统 的 方式 攻破 的 ， 比 如 通过 污染 第 三 方 的 API 和 库 。 

















本 书 会 给 出 系统 性 的 安全 方案 ,但 不 会 过 多 地 进行 手把手 的 指导 。 本 书 假设 你 想 要 了 解 最 
新 的 关于 如 何在 不 同 级 别 阻止 安全 威胁 的 信息 ， 基 中 包括 对 这 些 威胁 的 精确 解读 ， 以 及 黑 
客 如 何 使 用 它们 破坏 你 的 安全 措施 。 


本 书包 含 一 些 安全 编程 的 示例 。 要 想 使 用 这 些 例子 ， 你 需要 具备 良好 的 CSS3、HTML5 和 
JavaScript 编程 技术 方面 的 基础 。 但 如 果 你 不 具备 相关 的 技能 ， 则 可 以 跳 过 编程 示例 ， 但 
仍然 能 够 从 本 书 中 获得 大 量 有 用 的 信息 。 编 程 示例 提供 只 有 程序 员 才 会 关注 的 细节 。 

除了 编程 技巧 ， 更 重要 的 是 你 接受 过 一 定 程度 的 安全 培训 。 举 个 例子 ， 如 果 你 根本 不 知道 
什么 是 中 间 人 攻击 ， 那 么 确实 需要 先 阅读 较为 基础 的 图 书 。 本 书 当然 不 会 假设 你 是 了 解 中 
间 人 攻击 各 种 细节 的 专家 ， 但 确实 会 认为 你 之 前 接触 过 它 。 
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出 吾 


开发 环境 


运行 本 书 中 的 编程 示例 ， 只 需要 文本 编辑 器 和 浏览 器 。 文 本 编辑 器 必须 输出 纯 文本 ， 不 要 
有 任何 形式 的 格式 化 。 它 还 要 能 够 用 正确 的 文件 扩展 名 (.html、.css 和 .js) 来 保存 这 些 
示例 文件 。 我 和 多 位 图 书 编辑 、 试 读者 使 用 Linux、Mac 和 Windows 平台 上 最 流行 的 浏 
览 器 测试 过 书 中 的 例子 。 事 实 上 ， 我 们 甚至 在 Windows 10 系统 的 Edge 浏览 器 上 测试 过 
这 些 例子 。 


本 书 使 用 的 图 标 


不 同 的 图 标 用 于 传达 不 同 种 类 的 重点 信息 。 本 书 使 用 的 图 标 很 少 ， 但 你 需要 知道 其 中 每 一 
个 图 标的 含义 。 
































此 图 标 强调 一 些 重要 内 容 ， 这 些 内 容 略 微 偏离 主题 或 者 可 能 会 破坏 文字 的 连 
贯 性 。 你 需要 阅读 这 些 说 明 ， 因 为 它们 通常 会 提供 有 助 于 你 更 好 执行 安全 任 
务 的 信息 。 它 们 还 会 方便 你 找到 所 记得 的 重要 内 容 ， 否 则 你 可 能 很 难 找到 。 









































此 图 标 表 示 你 必须 知道 的 信息 ， 如 果 不 知道 这 些 信息 ， 你 可 能 会 遭受 可 怕 的 
后 果 。 与 说 明 图 标 一 样 ， 这 个 图 标 强调 了 特殊 的 内 容 ， 这 些 内 容 会 告诉 你 可 
能 导致 更 严重 问题 的 潜在 问题 。 如 果 你 读 过 某 章 后 没有 任何 收获 ， 那 么 一 定 
要 将 这 些 警 告 内 容 学 好 并 记 牢 ， 这 能 让 你 在 今后 避免 代价 高 昂 的 错误 。 




















补充 信息 
这 一 部 分 包含 一 些 有 用 的 信息 ， 但 你 在 开发 Web 应 用 程序 时 不 一 定 需 要 了 解 它们 。 你 
应 该 找 个 时 间 将 这 些 内 容 都 看 一 遍 ， 因 为 它们 非常 有 趣 ， 但 没 必 要 立即 阅读 。 这 部 分 
内 容 是 对 当前 话题 的 补充 ， 不 一 定 是 关于 该 话题 的 内 容 。 


排版 约定 
本 书 使 用 了 下 列 排 版 约定 。 
。 楷体 
表示 新 术语 或 重点 强调 的 内 容 。 
。 等 宽 字 体 (constant width) 
表示 程序 片段 ， 以 及 正文 中 出 现 的 变量 、 函 数 名 、 数 据 库 、 数 据 类 型 、 环 境 变 量 、 语 句 
和 关键 字 等 。 
。 加 粗 等 宽 字体 (constant width bold) 
表示 应 该 由 用 户 输入 的 命令 或 其 他 文本 。 



































。 等 宽 斜体 (Constant width italic) 
表示 应 该 由 用 户 输入 的 值 或 根据 上 下 文 确定 的 值 替 换 的 文本 。 


获取 更 多 信息 


我 想 要 尽量 确保 你 能 够 获得 最 好 的 阅读 体验 。 如 有 果 有 任何 关于 本 书 的 问题 ， 请 一 定 发 邮 
件 到 John@JohnMuellerBooks.com。 你 也 可 以 关注 本 书 的 博客 http://blog.johnmuellerbooks. 
com/category/technical/security-for-web-developers/。 这 个 博客 会 提供 更 多 的 内 容 ， 并 回答 读 
者 常 问 的 问题 。 如 果 本 书 有 勘误 之 处 ， 你 也 能 在 博客 上 找到 相关 的 修正 。 


使 用 代码 示例 


补充 材料 (代码 示例 、 练 习 等 ) 可 以 从 https://github.com/oreillymedia/Security_for_Web_Developers 
下 载 。 

本 书 是 要 帮 你 完成 工作 的 。 一 般 来 说 ， 如 果 本 书 提供 了 示例 代码 ， 你 可 以 把 它 用 在 你 的 程 
序 或 文档 中 。 除 非 你 使 用 了 很 大 一 部 分 代码 ， 否 则 无 需 联 系 我 们 获得 许可 。 比 如 ， 用 本 书 
的 几 个 代码 片段 写 一 个 程序 就 无 需 获 得 许可 ， 销 售 或 分 发 OReilly 图 书 的 示例 光盘 则 需要 
获得 许可 ;3 引用 本 书 中 的 示例 代码 回答 问题 无 需 获 得 许可 ， 将 书 中 大 量 的 代码 放 到 你 的 产 
品 文档 中 则 需要 获得 许可 。 

我 们 很 希望 但 并 不 强制 要 求 你 在 引用 本 书 内 容 时 加 上 引用 说 明 。 引 用 说 明 一 般 包 括 书 名 、 
作者 、 出 版 社 和 IJISBN。 比 如 :“Secwritp for Web Developers by John Paul Mueller (O’Reilly). 
Copyright 2016 John Paul Mueller, 978-1-49192-864-6.” 


如 果 你 觉得 自己 对 示例 代码 的 用 法 超出 了 上 述 许可 的 范围 ， 欢 迎 你 通过 permissions@ 
oreilly.com 与 我 们 联系 。 










































































Safari2 Books Online 


.5 Safari Books Online (http:Wwww.safaribooksonline.com) 是 应 运 而 

4 Safari 生 的 数字 图 书馆 。 它 同时 以 图 书 和 视频 的 形式 出 版 世界 顶级 技术 

和 商务 作家 的 专业 作品 。 技 术 专 家 、 软 件 开发 人 员 、Web 设计 师 、 

商务 人 士 和 创意 专家 等 ， 在 开展 调研 、 解 决 问 题 、 学 习 和 认证 培训 时 ， 都 将 Safari Books 
Online 视 作 获取 资料 的 首选 渠道 。 

对 于 组 织 团体 、 政 府 机 构 和 个 人 ，Safari Books Online 提供 各 种 产品 组 合 和 灵活 的 定价 策略 。 

用 户 可 通过 一 个 功能 完备 的 数据 库 检 索 系 统 访问 OReilly Media、Prentice Hall Professional、 

Addison-Wesley Professional、 Microsoft Press、 Sams、Que、Peachpit Press、Focal Press、 











Cisco Press、 John Wiley & Sons、 Syngress、 Morgan Kaufmann、 IBM Redbooks、Packt、 
Adobe Press、 FT Press、 Apress、 Manning、New Riders、McGraw-Hill、Jones & Bartlett、 
Course Technology 以 及 其 他 几 十 家 出 版 社 的 上 千 种 图 书 、 培 训 视 频 和 正式 出 版 之 前 的 书稿 。 
要 了 解 Safari Books Online 的 更 多 信息 ， 我 们 网 上 见 。 


























联系 我 们 
请 把 对 本 书 的 评价 和 问题 发 给 出 版 社 。 
美国 : 

O’Reilly Media, Inc. 


1005 Gravenstein Highway North 
Sebastopol, CA 95472 


中 国 : 
北京 市 西城 区 西直门 南大 街 2 号 成 铭 大 厦 C 座 807 室 (100035) 
奥 莱 利 技术 咨询 (北京 ) 有 限 公 司 








O’Reilly 的 每 一 本 书 都 有 专属 网 页 ， 你 可 以 在 那儿 找到 本 书 的 相关 信息 ， 包 括 勘 误 表 、 





例 代 码 以 及 其 他 信息 。 本 书 的 网 站 地 址 是 : 
http://shop.oreilly.com/product/0636920041429.do 


对 于 本 书 的 评论 和 技术 性 问题 ， 请 发 送 电子 邮件 到 : 
bookquestions@oreilly.com 

要 了 解 更 多 O’Reilly 图 书 、 培 训 课 程 、 会 议和 新 闻 的 信息 ， 请 访问 以 下 网 站 : 
http://www.oreilly.com 

我 们 在 Facebook 的 地 址 如 下 : 
http://facebook.com/oreilly 

请 关注 我 们 的 Twitter 动态 : 
http://twitter.com/oreillymedia 


我 们 的 YouTube 视频 地 址 如 下 : 
http://www.youtube.com/oreillymedia 
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感谢 我 的 妻子 Rebecca。 虽 然 她 已 离世 ， 但 她 的 精神 存在 于 我 写 的 每 一 本 书 以 及 每 一 个 词 


里 。 当 没有 人 相信 我 的 时 候 ， 她 一 直 相信 我 。 


感谢 Russ Mullen、Billy Rios 和 Wade Woolwine 对 本 书 进 行 的 技术 编辑 。 这 三 位 技术 编辑 
极 大 地 提升 了 书 中 内 容 的 准确 性 和 深度 。 很 多 时 候 ， 我 都 能 与 他 们 就 书 中 核心 话题 的 研究 





进行 交流 ， 并 寻求 他 们 的 帮助 。 


感谢 我 的 经 纪 人 Matt Wagner 帮 我 取得 了 这 份 合同 ， 并 帮忙 打 理 大 多 数 作 者 都 不 会 关注 的 











各 种 细 枝 末 市 。 我 一 直 感 激 他 的 帮助 。 知 道 有 人 愿意 帮忙 真 的 是 一 件 非 常 棒 的 事情 。 














许多 人 阅读 了 全 书 或 者 部 分 内 容 ， 帮 助 我 改进 了 方法 ， 测 试 脚本 ， 并 提供 了 所 有 读者 都 希 
望 包含 的 大 量 输入 数据 。 这 些 不 收 酬 劳 的 志愿 者 以 各 种 各 样 的 方式 提供 帮助 ， 这 里 就 不 
一 一 罗列 了 。 我 特别 感谢 Eva Beattie、Glenn A. Russell 和 Luca Massaron 的 帮助 ， 他 们 提 














供 了 大 量 输 入 数据 并 读 完整 本 书 ， 忘 我 地 参与 到 这 个 项 目 中 来 。 
最 后 ， 我 要 感谢 Meg Foley、Nicole Shelby、Jasmine Kwityn 以 及 参与 编辑 和 印 制 工作 的 所 
有 其 他 人 员 。 


扫描 如 下 二 维 码 ， 即 可 购买 本 书 电子 版 。 
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可 
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第 一 部 分 


制订 安全 计划 








在 这 一 部 分 中 ， 你 将 了 解 如 何 制 订 用 于 应 用 程序 开发 的 安全 计划 。 拥 有 一 份 好 的 安全 计划 
能 确保 应 用 达到 特定 的 目标 ， 并 且 有 助 于 与 开发 团队 商讨 如 何 实现 安全 性 。 缺 乏 良好 的 安 
全 计划 ， 黑 客 通常 就 能 轻易 地 侵入 应 用 程序 并 给 公司 制造 各 种 问题 。 第 1 章 将 通过 让 你 了 
解 安全 计划 的 组 成 部 分 来 开启 你 的 安全 之 旅 。 

很 重要 的 一 点 是 ， 你 要 认识 到 安全 计划 的 制订 不 仅 应 考虑 应 用 程序 本 身 ， 而 且 要 考虑 用 户 
如 何 使 用 应 用 。 正 如 第 2 章 中 所 说 的 ， 每 一 个 成 功 的 应 用 程序 都 将 用 户 牢记 在 心头 。 

此 外 ， 你 需要 明白 ， 现 在 的 应 用 程序 不 再 处 于 真空 状态 ， 它 们 会 与 在 线 数 据 源 进 行 交 互 并 
依赖 第 三 方 代 码 。 明 白 了 这 一 点 后 ， 你 还 必须 思考 第 三 方 解 决 方案 会 如 何 影响 你 的 应 用 ， 
积极 影响 和 消极 影响 都 应 考虑 在 内 。 使 用 第 三 方 解 决 方案 能 极 大 地 减少 你 的 编码 时 间 。 第 


3 章 会 帮 你 达成 这 个 目标 。 
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对 于 任何 公司 来 说， 数据 都 是 最 重要 的 资源 。 可 以 说 ， 除 了 数据 ， 公 司 的 任何 部 分 都 可 以 
被 取代 。 当 数据 被 自 改 、 破 坏 、 窃 取 或 删除 时 ， 公 司 会 遭受 严重 的 损失 。 事 实 上， 如 果 某 
公司 的 数据 发 生 了 足够 多 的 错误 ， 那 么 该 公司 很 可 能 会 因此 而 不 复 存在 。 所 以 ， 谈 到 安全 
的 时 候 ， 焦 点 不 在 于 黑客 、 应 用 程序 、 网 络 或 其 他 任何 别人 可 能 告诉 过 你 的 东西 ， 而 在 于 
数据 。 因 此 ， 这 本 书 是 关于 数据 安全 的 ， 其 中 包括 了 许多 其 他 话题 ， 但 当 阅 读 这 些 话题 
时 ， 你 需要 明白 你 真正 要 保护 的 是 什么 。 


不 幸 的 是 ， 数 据 扳 独 地 有 呆 在 屠 暗 中 时 并 没有 多 少 用 处 。 无 论 你 的 服务 器 有 多 高 档 ， 或 者 你 
的 数据 库 有 多 强大 的 存储 能 力 ， 直 到 你 利用 数据 时 ， 数 据 才 会 有 价值 。 我 们 需要 使 用 应 用 
程序 来 管理 数据 ， 这 就 是 本 章 要 讨论 应 用 环境 的 原因 。 


然而 ， 在 进一步 阅读 之 前 ， 很 重要 的 一 件 事 是 ， 要 先 明 确 应 用 和 数据 是 如 何 交互 的 ， 因 为 
如 果 对 此 没有 了 解 ， 那 本 章 余 下 的 内 容 对 你 不 会 有 太 大 用 处 。 一 个 应 用 程序 无 论 多 么 复 
杂 ， 它 只 会 对 数据 进行 四 种 操作 。 你 可 以 用 CRUD 这 个 缩写 来 指 代 这 四 种 操作 。 

。 创建 (Create) 

。 读 取 (Read) 

。 更 新 (Update) 

。 删除 (Delete) 

接 下 来 会 讨论 与 Web 环境 有 关 的 数据 、 应 用 程序 和 CRUD。 你 会 发 现 数据 安全 是 如 何 影 
响 Web 开发 中 这 三 个 方面 的 。 记 住 ， 虽然 数据 是 重点 ， 但 所 需 的 CRUD 任务 是 由 应 用 程 
序 来 执行 的 。 保 证 数据 安全 意味 着 要 理解 应 用 程序 的 运行 环境 ， 进 而 理解 应 用 程序 管理 的 
数据 所 面临 的 威胁 。 




































































1.1 明确 Web 应 用 威胁 


你 可 以 在 互联 网 上 找到 Web 应 用 威胁 的 清单 。 其 中 有 一 些 是 全 面 而 不 带 偏 见 的 ， 有 一 些 论 

述 了 作者 认为 的 最 重要 的 威胁 ， 还 有 一 些 会 告诉 你 哪些 是 最 常见 的 威胁 ， 此 外 你 还 可 以 找 

到 各 种 各 样 的 其 他 清单 。 所 有 这 些 清单 的 问题 在 于 ， 它 们 的 作者 并 不 了 解 你 的 应 用 程序 。 

比如 ，SQL 注入 攻击 只 在 应 用 程序 以 某 种 方式 使 用 SQL 时 才 会 成 功 ， 但 你 的 应 用 程序 可 

能 并 未 采用 这 种 方式 。 

很 明显 ， 你 需要 知道 在 哪些 场景 下 应 该 检查 什么 ， 而 这 些 清 单 确实 是 个 好 的 起 点 。 然 而 ， 

你 需要 根据 自己 的 应 用 程序 来 考虑 这 些 清单 的 内 容 。 此 外 ， 不 要 只 依赖 一 份 清单 ， 尽 量 参 

考 多 份 ， 这 样 你 能 对 可 能 的 威胁 有 更 好 的 认识 。 带 着 这 样 的 需求 ， 下 面 列 出 了 现在 最 常见 

的 一 些 Web 应 用 威胁 。 

。 缓冲 区 溢出 
攻击 者 试图 将 足够 多 的 数据 发 送 到 输入 缓冲 区 中 ， 以 便 让 应 用 程序 或 输出 缓冲 区 溢出 ， 
从 而 导致 在 缓冲 区 外 的 内 存 数 据 被 损坏 。 某 些 形式 的 缓冲 区 溢出 能 使 攻击 者 执行 看 起 
来 不 可 能 完成 的 任务 ， 因 为 受 影响 的 内 存 中 保存 着 可 执行 的 代码 。 解 决 这 种 问题 最 好 
的 办 法 是 ， 对 应 用 程序 处 理 的 所 有 数据 都 执行 边界 和 大 小 检查 ， 无 论 是 输入 还 是 输出 。 
你 可 以 在 网 页 http://www.upenn.edu/computing/security/swat/SWAT_Top_Ten_A5.php 和 
https://www.owasp.org/index.php/Buffer_Overflows 上 看 到 更 多 关于 Web 应 用 程序 缓冲 区 
溢出 的 内 容 。 

。 代码 注入 
一 个 实体 以 中 间 人 攻击 (man-in-the-middle-attack) 的 形式 将 代码 添加 到 服务 器 和 客户 
端 (如 浏览 器 ) 之 间 的 数据 流 中 。 被 攻击 方 经 常会 将 这 种 注入 代码 视 为 原始 页 面 的 一 部 
分 ,但 它 可 能 包含 任何 东西 。 当 然 ， 被 攻击 方 甚至 看 不 到 这 些 注 入 的 代码 。 它 可 能 潜伏 
在 后 人 台 ， 随 时 准备 给 应 用 程序 制造 各 种 各 样 的 问题 。 解 决 该 攻击 的 一 种 好 方法 是 确保 使 
用 了 加 密 的 数据 流 、HTTPS 协议 和 代码 验证 (如果 可 能 )。 提 供 客 户 端 反馈 机 制 也 是 一 
个 好 主意 。 


代码 注入 往往 发 生得 比 你 想象 的 频繁 。 在 某 些 情况 下 ， 代 码 注 入 甚至 不 算 攻 击 
的 一 部 分 ， 虽 然 也 可 能 是 。 最 近 有 一 篇 文章 (http:/www.infoworld.com/article/ 
2925839/net-neutrality/code-injection-new-low-isps.html) 讨论 了 互联 网 服务 提 
供 商 (Internet service provider，ISP) 如 何 将 JavaScript 代码 注入 到 数据 流 中 
以 便 在 页 面 上 放置 甚 浮 广告 。 而 为 了 确定 要 投放 哪 一 类 广告 ，ISP 还 会 监听 
数据 传输 。 















































。 跨 站 脚本 (cross-site scripting，XSS ) 
攻击 者 将 JavaScript 脚本 或 其 他 可 执行 代码 注入 到 应 用 程序 的 输出 流 中 。 接 收 者 会 将 你 
的 应 用 程序 看 作 感染 源 ， 但 其 实 它 并 不 是 。 大 多 数 时 候 ， 不 应 该 在 没有 严格 验证 的 情况 
下 允许 用 户 通过 你 的 应 用 程序 直接 将 数据 发 送 给 其 他 用 户 。 对 于 像 博 客 这 样 的 应 用 程序 
来 说 ， 采 取 审 核 机 制 是 很 有 必要 的 ， 以 此 确保 你 的 应 用 程序 最 终 不 会 沦 为 病毒 的 宿主 ， 
或 者 出 现 更 糟糕 的 情况 ， 被 掺 和 人 看 似 无 害 的 数据 。 
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很 少 有 专家 会 提醒 你 检查 输出 数据 。 但 是 ， 你 并 不 能 准确 地 知道 自己 的 
应 用 程序 是 否 值得 信赖 。 肢 客 有 可 能 破解 应 用 程序 并 污染 输出 数据 。 验 
证 核查 应 涵盖 输入 数据 和 输出 数据 。 














文件 上 传 

即使 看 上 去 是 无 害 的 ， 但 每 一 次 的 文件 上 传 也 应 该 被 认为 是 可 疑 的 。 黑 客 有 时 候 会 利用 
服务 器 的 文件 上 传 功 能 来 上 传 后 门 程序 ， 这 些 文件 会 包含 一 些 很 危险 的 东西 。 如 果 可 
能 ， 应 禁止 服务 器 的 文件 上 传 。 当 然 ， 我 们 通常 无 法 提供 这 种 级 别 的 安全 性 ， 所 以 你 需 
要 限制 允许 上 传 的 文件 类 型 ， 然 后 扫描 这 些 文件 ， 检 查 它 们 是 否 有 问题 。 尽 可 能 验证 文 
件 始终 是 一 个 好 主意 。 例 如 ， 一 些 文件 会 在 头 部 包含 一 段 签名 信息 ， 你 可 以 用 它 来 判断 
这 个 文件 的 合法 性 。 不 要 单纯 依赖 文件 扩展 名 进行 排除 ， 黑 客 经 常会 将 一 个 文件 伪装 成 
另 一 种 类 型 来 绕 过 服务 器 的 安全 验证 。 

硬 编码 的 认证 

出 于 测试 目的 ， 开 发 人 员 经 常 将 认证 信息 放 在 应 用 程序 的 初始 化 文件 中 。 我 们 需要 去 掉 
这 些 硬 编码 的 认证 信息 ， 以 集中 式 存储 的 安全 信息 替代 。 将 数据 存储 在 安全 的 位 置 而 不 
是 Web 应 用 服务 器 上 是 很 重要 的 ， 这 样 黑客 就 不 能 轻易 地 查看 到 可 用 于 访问 应 用 程序 
的 凭据 。 如 果 你 的 应 用 程序 确实 需要 一 些 初 始 化 文件 ， 那 么 要 确保 这 些 文件 放 在 Web 
根 目 录 以 外 的 地 方 ， 以 防止 黑客 偶然 发 现 它 们 。 


发 现 隐藏 或 受 限 制 的 文件 / 目录 

当 应 用 程序 允许 输入 一 些 特殊 字符 〈 比 如 斜 杠 或 反 斜 杠 ) 时 ， 黑 客 就 有 可 能 发 现 隐藏 或 
受 限 制 的 文件 和 目录 。 这 些 地 方 可 能 包含 各 种 有 助 于 黑客 攻击 你 的 系统 的 信息 。 尽 可 能 
禁止 使 用 特殊 字符 是 一 个 很 好 的 主意 。 除 此 之 外 ， 请 把 重要 的 文件 放 在 Web 根 目录 之 
外 且 操 作 系 统 能 直接 控制 的 地 方 。 

缺少 认证 或 者 认证 不 正确 

知道 谁 正在 使 用 应 用 程序 是 很 重要 的 ， 特 别 是 在 你 处 理 敏感 数据 的 时 候 。 许 多 Web 应 
用 程序 依赖 公共 账户 来 执行 某 些 任务 ， 这 意味 着 不 可 能 知道 是 谁 访问 了 这 个 账户 。 应 该 
避免 因为 任何 原因 而 使 用 访客 账户 ， 并 为 每 一 个 用 户 分 配 独立 的 账户 。 

缺少 授权 或 者 授权 不 正确 

即使 知道 了 谁 正 在 使 用 你 的 应 用 ， 还 有 一 件 重 要 的 事 : 只 为 用 户 提供 执行 特定 任务 时 所 
需要 的 权限 。 此 外 ， 授 权 应 该 反映 用 户 的 访问 方式 ， 比 如 一 个 桌面 系统 通过 本 地 网 络 访 
问 应 用 程序 可 能 比 一 部 智能 手机 在 当地 咖啡 店 里 访问 应 用 程序 更 安全 。 依 靠 安 全 提升 来 
协助 处 理 敏 感 任 务 ， 能 够 让 你 在 处 理 任 务 之 外 的 时 间 里 维持 最 低 的 授权 。 任 何 降低 用 户 
权限 的 行为 都 有 助 于 维持 一 个 安全 的 环境 。 

缺少 加 密 或 者 加 密 不 正确 

使 用 加 密 技术 在 两 个 终端 之 间 传 输 数 据 可 以 防止 黑客 监听 通信 。 重 点 是 要 跟 进 最 新 的 
加 密 技术 ， 并 且 依 靠 用 户 环境 所 能 支持 的 最 好 加 密 算法 。 例 如 ， 三 重 加 密 算法 (Triple 
Data Encryption，3DES) 已 经 不 再 安全 了 ， 但 一 些 组 织 仍 在 使 用 它 。 高 级 加 密 标准 
(Advanced Encryption Standard，AES) 目前 仍然 是 安全 的 ， 但 你 要 尽 可 能 用 最 长 的 密 铀 
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来 加 大 破解 难度 。 
操作 系统 命令 注入 
攻击 者 会 修改 应 用 程序 使 用 的 操作 系统 命令 来 执行 特定 的 任务 。 你 的 Web 应 用 程序 一 
开始 可 能 就 不 应 该 使 用 系统 调用 。 但 是 ， 如 果 必 须 使 用 ， 请 确保 你 的 应 用 程序 在 一 个 沙 
盒 环 境 中 运行 。 

有 些 专 家 会 强调 在 某 些 使 用 场景 中 需要 校 验 输入 数据 ， 但 对 其 他 的 使 用 场 
景 不 作 此 要 求 。 请 始终 对 从 任意 数据 源 接收 到 的 任何 数据 进行 校 验 。 你 
无 法 知道 黑客 会 用 什么 工具 来 侵入 系统 或 以 怎样 的 方式 来 制造 损害 。 输 
入 数据 总 是 可 疑 的 ， 即 使 该 数据 来 自 你 自己 的 服务 器 。 当 你 处 理 安全 相 
关 的 任务 时 ， 变 得 多 疑 是 件 好 事 。 





























参数 纂 改 

黑客 会 对 作为 请 求 头 或 URL 一 部 分 的 参数 进行 尝试 。 例 如 ， 使 用 Google 搜索 时 ， 你 可 
以 通过 改变 URL 来 改变 搜索 结果 。 请 确保 加 密 你 在 浏览 器 和 服务 器 之 间 传 递 的 任何 参 
数 。 此 外 ， 在 传递 参数 时 ， 使 用 安全 的 网 络 传输 协议 ， 比 如 HTTPS。 








如 果 有 足够 的 时 间 和 精力 ， 黑 客 仍然 能 操纵 参数 。 仔 细 定 义 好 参数 的 取 
值 范 围 和 数据 类 型 也 很 重要 ， 这 能 减少 此 种 攻击 带 来 的 潜在 问题 。 

















远程 代码 包含 

如 今 的 很 多 Web 应 用 程序 依赖 包含 外 部 库 、 框 架 和 API。 大 多 数 情况 下 ， 包 含 语句 会 
含有 一 个 相对 路 径 或 者 使 用 一 个 记录 着 硬 编码 路 径 的 变量 ， 这 样 做 是 为 了 方便 以 后 更 换 
远程 代码 的 位 置 。 当 黑客 能 够 获取 到 这 些 路 径 信息 并 更 改 它们 的 时 候 ， 远 程 代码 包含 就 
可 能 被 指向 墨客 想 要 包含 的 任何 代码 ， 从 而 使 得 黑客 可 以 完全 掌控 你 的 系统 。 避 免 这 种 
问题 的 最 佳 方法 就 是 尽量 使 用 硬 编码 的 完整 路 径 ， 尽 管 这 会 使 代码 维护 变 得 困难 。 


许多 专家 会 建议 你 使 用 经 过 审核 的 库 和 框架 来 执行 有 风险 的 任务 。 但 是 ， 
这 些 添加 的 插件 不 过 是 更 多 的 代码 而 已 。 黑 客 总 能 发 现 破 坏 和 规 如 这 些 
库 以 及 框架 的 方法 。 你 仍然 需要 确保 应 用 程序 和 所 有 它 依赖 的 代码 能 够 
安全 地 与 外 界 交 互 ， 这 意味 着 需要 有 额外 的 测试 。 使 用 外 部 库 和 框架 确 
实 能 降低 维护 成 本 并 且 能 提供 及 时 的 bug 修复 ， 但 是 bug 仍旧 会 存在 并 
且 你 仍 需 要 保持 警惕 。 保 证 数据 安全 没有 万 全 之 策 。 第 6 章 包含 了 更 多 
关于 使 用 外 部 库 和 框架 的 内 容 。 


























会 话 动 持 

每 次 用 户 登 录 到 你 的 Web 服务 器 ， 服 务 器 就 会 为 其 创建 一 个 唯一 的 会 话 。 会 话 劫持 者 
会 侵入 到 会 话 中 并 拦截 用 户 与 服务 器 之 间 传 输 的 数据 。 含 有 劫持 会 话 所 需 信 息 的 三 个 最 
常见 的 地 方 是 : cookie、URL 重 写 和 隐藏 域 。 黑 客 会 在 这 些 地 方 查找 会 话 信 息 。 只 要 保 
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持 会 话 信息 是 加 密 的 ， 你 就 能 降低 会 话 被 劫持 的 风险 。 例 如 ， 确 保 使 用 HTTPS 协议 来 
登录 。 你 也 应 该 避免 使 用 可 被 预测 的 会 话 ID。 
。 SQL 注入 
攻击 者 会 修改 由 应 用 程序 创建 的 查询 ， 而 这 个 查询 是 由 用 户 或 其 他 输入 引起 的 。 大 部 分 
SQL 注入 的 情况 是 ， 应 用 程序 需要 的 是 用 于 查询 的 数据 ， 但 它 实 际 接收 到 的 却 是 一 些 
SQL 片段 。 其 他 形式 的 SQL 注入 攻击 与 使 用 了 转 义 字符 或 其 他 意 想不到 的 字符 或 字符 
串 有 关 。 一 个 避免 SQL 注入 攻击 的 好 办 法 是 避免 动态 查询 。 
看 起 来 我 们 周围 存在 着 许多 不 同 的 网 络 威胁 ， 但 如 果 在 网 上 搜索 的 时 间 足 够 长 ， 你 会 轻易 
地 将 这 份 清单 的 长 度 变 成 现在 的 3 倍 ， 然 而 这 些 也 只 是 众多 黑客 攻击 手段 中 的 一 小 部 分 。 
当 继 续 读 这 本 书 时 ， 你 会 磁 到 更 多 种 类 的 网 络 威胁 并 开始 了 解 解决 它们 的 方法 。 不 用 担 
心 ， 大 部 分 情况 的 解决 方案 都 是 一 些 常 识 ， 并 且 一 个 方案 能 解决 不 止 一 个 问题 。 例 如 ， 再 
看 看 上 面 的 清单， 你 会 发 现 仅仅 使 用 HTTPS 就 可 以 解决 其 中 的 多 个 问题 。 































































































考虑 隐私 安全 问题 

当 一 家 公司 涉足 安全 时 ， 它 往往 会 首先 关注 自己 的 数据 安全 ， 人 毕竟 ， 如 果 公 司 的 数据 
丢失 、 被 损坏 、 被 修改 或 以 别 的 方式 变 得 不 可 用 ， 那 它 可 能 会 面临 破产 。 公 司 下 一 个 
级 别 的 安全 考虑 通常 涉及 第 三 方 ， 比 如 合作 伙伴 。 用 户 数 据 的 安全 性 通常 是 最 后 才 考 
虑 的 ， 并 且 ， 很 多 公司 根本 不 考虑 客户 数据 的 安全 。 问 题 是 ， 许 多 用 户 和 客户 把 他 们 
的 数据 安全 看 得 非常 重要 。 所 有 的 隐私 问题 都 归结 于 用 户 数据 的 保护 ， 在 没有 经 过 用 
户 同意 或 用 户 不 知情 的 情况 下 ， 不 能 滥用 或 暴露 用 户 信息 。 总 之 ， 在 构建 应 用 程序 时 ， 
必须 把 用 户 数 据 的 隐私 作为 一 个 重要 的 安全 问题 纳入 考虑 范围 。 





最 近 的 一 篇 文章 (http://www.infoworld.com/article/2925292/internet-privacy/feds-vs-silicon- 
valley-who-do-you-trust-less.html) 指出 ， 用 户 和 客户 把 科技 行业 视 为 糟糕 的 数据 受托 
方 。 事 实 上 ， 和 科技 行业 确实 在 这 方面 已 落后 于 政府 ， 人 们 相信 政府 会 更 好 地 保护 他 们 
的 信息 。 许 多 科技 公司 公开 支持 其 他 实体 (比如 政府 ) 提出 的 增强 安全 性 的 策略 ， 但 
私 底下 却 用 各 种 方式 侵犯 用 户 和 客户 的 隐私 。 这 种 两 面 派 的 做 法 比 起 科技 行业 公开 承 
认 侵 犯 用 户 和 客户 的 数据 更 糟 炎 。 

要 创建 一 个 真正 安全 的 应 用 程序 必须 涵 盖 安 全 的 每 一 个 方面 ， 包 括 用 户 和 客户 的 数 
据 。 这 要 求 应 用 程序 只 获取 和 管理 其 执行 相关 任务 所 需 的 数据 ， 而 不 去 涉及 那些 不 再 
需要 的 数据 。 只 有 对 操作 的 所 有 数据 部 遵循 相同 的 原则 ， 不 管 它们 从 何 而 来 ， 应 用 程 
序 才 会 收获 信任 。 


1.2 ”理解 软件 安全 保障 


软件 的 目的 是 与 数据 进行 交互 。 但 是 ， 软 件 本 身 也 是 一 种 数据 。 事 实 上 ， 数 据 有 很 多 你 
可 能 从 未 考虑 过 的 形式 ， 并 且 其 影响 比 你 想象 的 要 广泛 得 多 。 随 着 物 联网 (Internet of 
Things，IoT) 时 代 的 到 来 ， 如 今 的 数据 可 能 具有 抽象 和 物理 双重 影响 力 ， 这 在 几 年 前 项 
至 无 法 想象 。 成 功 和 人 侵 应 用 程序 之 后 ， 墨 客 可 以 做 破坏 电网 和 向 自 来 水 系统 投 毒 这 样 的 事 
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情 。 从 个 人 层面 来 说 ， 黑 客 同样 可 以 悄悄 地 把 你 家 的 温度 调 高 到 可 怕 的 程度 ， 关 掉 你 家 
所 有 的 灯 ， 或 者 通过 你 的 网 络 摄像 头 监 视 你 ， 这 只 是 一 些 例 子 。 软 件 安全 保障 (Software 
Security Assurance，SSA) 的 观点 是 ， 软 件 需 要 某 种 监管 来 确保 它 不 会 导致 其 使 用 、 控 制 
和 保护 的 数据 及 资源 发 生 丢 失 、 误 差 、 自 改 、 不 可 用 或 误 用 。 这 一 要 求 是 SSA 的 一 部 分 。 
接 下 来 会 更 详细 地 讨论 SSA。 


SSA 目前 并 不 是 一 个 实际 的 标准 。 它 是 许多 公司 基于 自身 需求 进行 量化 并 写 入 
文档 的 一 个 概念 。 在 这 许多 的 文档 中 出 现 了 一 些 相同 的 基本 模式 ， 进 而 SSA 
这 一 术语 用 以 指 代 这 些 确保 软件 安全 的 做 法 。 通 过 查阅 各 大 公司 的 在 线 SSA 
文档 ， 你 会 发 现 SSA 是 如 何 影响 这 些 公 司 的， 比如 Oracle (https:/www.oracle. 
com/support/assurance/index.html) 和 Microsoft (https://msdn.microsoft.com/library/ 
windows/desktop/84aed186-1d75-4366-8e61-8d258746bopq.aspx)。 事 实 上 ， 目 
前 许多 大 公司 都 在 适当 的 地 方 有 某 些 形式 的 SSA。 












































1.2.1 考虑 OSSAP 


为 了 使 SSA 在 Web 应 用 程序 中 成 为 现实 ， 有 一 个 重要 的 网 站 需要 关注 ， 那 就 是 开放 Web 
应 用 安全 项 目 (Open Web Application Security Project, OWASP, https://www.owasp.org/ 
index.php/OWASP_Software_Security_Assurance_Process)， 如 图 1-1 所 示 。 这 个 网 站 对 如 何 
使 OWASP 的 安全 软件 保障 流程 (OWASP Security Software Assurance Process，OSSAP) 
成 为 软件 开发 生命 周期 (Software Development Lifecycle，SDLC) 的 一 部 分 进行 了 流程 分 
解 。 是 的 ， 这 里 有 一 大 堆 首 字母 缩写 ， 不 过 你 需要 了 解 这 个 组 织 ， 这 会 帮 你 为 自己 的 应 用 
程序 创建 一 套 流 程 来 与 其 他 公司 所 做 的 工作 相 匹 配 。 此 外 ， 这 个 网 站 上 的 信息 能 帮助 你 关 
应 用 程序 开发 一 套 真正 能 用 的 安全 流程 ， 使 其 成 为 开发 流程 中 的 一 部 分 ， 而 这 并 不 会 花费 
太 多 的 时 间 。 











虽然 OSSAP 提供 了 一 个 很 棒 的 框架 来 确保 应 用 满足 SSA 的 要 求 ， 但 你 并 不 
需要 与 该 组 织 有 任何 的 互动 。 这 个 组 织 已 经 将 它 的 方法 授权 给 SSA。 不 过 ， 
这 个 组 织 现 在 还 在 发 展 中 ， 你 可 以 在 网 站 上 发 现 很 多 待定 的 事项 ， 这 些 都 会 
在 后 面 的 时 间 里 补充 上 上。 当然， 你 需要 一 个 当前 能 用 的 计划 ， 所 以 OWASP 
和 它 的 OSSAP 为 你 提供 了 研究 当前 解决 方案 的 平台 ， 并 且 在 今后 也 能 获得 
更 多 的 帮助 。 
























































在 应 用 程序 中 将 SSA 作为 软件 开发 生命 周期 一 部 分 的 根本 原因 ， 是 想 尽 可 能 确保 软件 是 可 
靠 和 无 差错 的 。 在 与 菜 些 人 的 交谈 中 ， 会 发 现 他 们 认为 SSA 会 解决 你 可 能 遇 到 的 所 有 潜在 
安全 问题 ， 可 实际 上 并 非 如 此 。SSA 会 提升 软件 质量 ， 但 没有 一 款 软件 是 没有 差错 的 。 假 
如 你 确实 开发 了 一 款 没 有 错误 的 软件 ， 仍 然 需 要 考虑 用 户 、 环 境 、 网 络 和 所 有 其 他 的 软件 
安全 问题 。 因 此 ，SSA 只 是 安全 版 图 中 的 一 小 块 ， 而 实现 SSA 也 只 能 解决 许多 而 不 是 全 
部 的 安全 问题 。 最 佳 的 做 法 就 是 将 安全 建设 视 为 一 个 持续 的 过 程 。 
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1-1: OWASP 网 站 会 告诉 你 关于 Web 应 用 的 SSA 


1.2.2 ”定义 SSA 的 要 求 


要 将 实现 SSA 作为 应 用 程序 的 一 部 分 ， 第 一 步 需 要 先 定义 SSA 的 要 求 。 这 些 要 求 会 帮 你 
确定 软件 的 当前 状态 、 需 要 解决 的 问题 ， 以 及 这 些 问题 的 严重 程度 。 在 定义 问题 之 后 ， 你 

能 够 明确 修复 进程 以 及 任何 其 他 要 求 ， 以 确保 软件 安全 。 实 际 上 ， 你 可 以 将 SSA 分 解 为 以 
下 8 个 步骤 。 


(了 ) 评估 软件 和 制订 修复 计划 。 

(2) 定义 数据 的 各 种 安全 风险 并 进行 分 类 ， 优 先 修复 最 严重 的 风险 。 

(3) 执行 全 面 的 代码 检查 。 

(4) 进行 必要 的 更 改 。 

(5) 测试 修复 并 在 生产 环境 中 验证 它们 确实 是 有 效 的 。 

(6) 制定 防御 机 制 来 保护 应 用 程序 的 访问 及 其 管理 的 数据 。 

07) 衡量 你 所 做 的 这 些 更 改 的 有 效 性 。 

(8) 以 适当 的 方式 培训 管理 者 、 用 户 和 开发 人 员 ， 以 确保 良好 的 应 用 安全 性 。 






































另 一 种 SSA 策略 
当 涉及 安全 问题 的 时 候 ， 你 会 发 现 针对 一 个 问题 有 许多 解决 方法 。 根 据 公 司 的 文化 和 
工作 方式 ， 你 也 许 会 发 现 有 另 一 种 技巧 可 以 确保 SSA 工作 得 更 好 。 一 些 安全 专家 会 建 
议 以 下 这 些 步 又。 
(1) 把 安全 性 要 求 置 于 产品 需求 之 上 (这 一 条 只 需要 在 启动 新 软件 开发 时 执行 ) 。 
(2) 定义 并 与 开发 人 员 沟通 写 代码 时 必须 遵守 的 安全 编码 规范 。 
(3) 开发 人 员 在 写 新 代码 时 要 启用 自动 代码 检查 。 
(4) 完成 应 用 开发 之 后 要 执行 全 面 的 代码 检查 。 
(5) 对 整个 应 用 程序 进行 渗透 测试 和 脆弱 性 评估 。 
(9) 评估 测试 结果 以 找到 安全 和 业务 之 间 的 平衡 点 。 制 订 计 划 ， 修 复 已 确定 的 、 对 业务 
有 很 大 危害 的 漏洞 。 
(7) 执行 所 有 需要 进行 的 安全 性 修复 。 
(8) 重复 步骤 (5)。 











1.2.3 ”对 数据 和 资源 分 类 

这 一 过 程 包括 识别 应 用 程序 涉及 的 各 种 数据 ， 包 括 它 自身 的 代码 和 配置 信息 。 一 旦 识别 了 
所 有 数据 ， 你 就 要 对 其 进行 分 类 来 确定 所 需 的 安全 级 别 ， 从 而 保护 这 些 数据 。 数 据 有 很 多 
分 类 方式 ， 而 用 什么 方式 则 取决 于 公司 的 需要 和 对 数据 的 定位 。 例 如 ， 有 些 数据 可 能 只 会 
给 公司 带 来 斌 烦 ， 而 有 些 数据 则 可 能 对 人 造成 伤害 。 定 义 数据 安全 漏洞 会 如 何 影 响 整 个 安 
全 环境 ， 是 至 关 重 要 的 。 


完成 数据 分 类 之 后 ， 就 可 以 开始 用 这 些 分 类 信息 来 执行 各 种 任务 。 例 如 ， 你 可 以 考虑 通过 
以 下 方式 减少 漏洞 : 

。 制定 编码 规范 

。 执行 强制 的 开发 人 员 培 训 

。 在 开发 团队 中 聘请 安全 主管 

。 使 用 专门 定位 安全 问题 的 自动 化 测试 程序 


所 有 这 些 方 法 都 指向 公司 使 用 和 依赖 的 资源 ， 以 确保 应 用 程序 正确 地 管理 数据 。 资 源 分 类 
意味 着 确定 对 特定 资源 的 重视 程度 。 例 如 ， 拒 绝 培 训 开 发 人 员 会 比 拒绝 培训 用 户 产生 更 大 
的 影响 ， 因 为 开发 人 员 与 应 用 程序 是 一 体 的 。 当 然 ， 培 训 对 所 有 人 都 很 重要 。 既 然 这 样 ， 
将 资源 分 类 会 让 你 明确 在 何 地 如 何 花 钱 才能 获得 最 佳 的 投资 回报 ， 同 时 仍然 能 满足 应 用 的 
安全 性 目标 。 


1.2.4 ”进行 必要 的 分 析 
作为 SSA 的 一 部 分 ， 你 需要 对 应 用 程序 进行 分 析 (包括 威胁 建 模 、 用 户 界面 漏洞 和 数据 


展示 漏洞 )。 准 确 地 知道 代码 可 能 包含 怎样 的 缺陷 是 很 重要 的 。 这 里 的 关键 词 是 可 能 。 在 
进行 深入 分 析 之 前 ， 你 无 法 知道 代码 中 实际 的 安全 问题 。Web 应 用 程序 特别 容易 有 潜藏 的 
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问题 ， 因 为 与 桌面 端 应 用 程序 不 同 ， 其 代码 会 出 现在 许多 地 方 ， 并 且 脚 本 语言 易于 隐藏 问 
题 ， 而 经 过 编译 的 应 用 程序 则 没有 这 种 情况 ， 因 为 脚本 语言 是 在 运行 时 而 不 是 编译 时 进行 
解析 的 。 




















重要 的 一 点 是 ， 要 理解 数据 安全 不 仅 与 代码 有 关 ， 还 涉及 创建 代码 所 需 的 工 
具 和 使 用 这 些 工 具 的 开发 人 员 的 技能 。 当 一 家 公司 选择 错误 的 工具 来 完成 这 
个 工作 时 ， 出 现 安全 漏洞 的 风险 会 大 大 提高 ， 因 为 这 些 工 具 可 能 无 法 创建 出 
严格 符合 预期 的 代码 。 同 样 ， 当 使 用 工具 的 开发 人 员 不 具备 必需 的 技能 时 ， 
软件 出 现 安全 漏洞 就 毫 不 奇怪 了 ， 但 更 熟练 的 开发 人 员 能 避免 这 些 漏洞 。 

某 些 专家 宣称 ， 有 些 公司 实际 上 容忍 不 合格 的 工作 。 在 大 多 数 情况 下 ， 给 这 
种 行为 找 的 借口 是 开发 进度 落后 于 预期 或 缺少 必需 的 工具 或 专业 技能 。 公 司 
有 可 能 会 专门 设计 用 来 解决 安全 问题 的 软件 (比如 防火 墙 )， 这 并 不 能 减轻 开 
发 人 员 开 发 安全 代码 的 重任 。 公 司 需要 坚持 编码 标准 来 确保 取得 良好 的 结果 。 


























1. 逻辑 

与 应 用 程序 及 其 管理 的 数据 进行 交互 是 一 系列 过 程 。 虽 然 用 户 可 能 会 以 看 起 来 随机 的 方式 
执行 任务 ,但 具体 的 任务 总 会 遵循 一 定 的 模式 ， 因 为 用 户 必须 遵循 一 定 的 过 程 逻辑 来 获得 
良好 的 结果 。 通 过 记录 及 理解 这 些 过 程 ， 你 能 够 从 实际 的 角度 分 析 应 用 程序 的 逻辑 。 用 户 
依赖 于 由 开发 人 员 设 计 应 用 程序 的 方式 决定 的 特定 过 程 。 改 变 这 个 设计 势必 会 引起 过 程 的 
改变 。 

分 析 的 目的 是 要 找 出 过 程 逻 辑 中 的 安全 漏洞 。 例 如 ， 应 用 程序 可 能 会 允许 用 户 保持 其 登录 
状态 ， 却 没有 对 过 期 后 的 登录 状态 有 效 性 进行 检测 。 这 里 的 问题 是 ， 在 线 用 户 可 能 根本 就 
不 在 线 ， 而 是 其 他 人 利用 了 他 的 凭据 登录 了 系统 ， 并 且 没 人 知道 这 件 事 ， 因 为 所 有 人 都 觉 
得 这 个 用 户 是 像 平时 一 样 正常 登录 该 系统 。 

但 是 ， 对 数据 漏洞 的 分 析 可 采用 其 他 的 方式 。 例 如 ， 一 个 序列 号 可 能 由 几 个 可 量化 的 元 素 
构成 。 为 了 得 到 好 的 序列 号 ， 应 用 程序 可 获取 这 些 元 素 并 根据 这 些 元 素来 构建 序列 号 ， 而 
不 是 把 序列 号 当 作 一 个 整体 。 这 样 做 是 为 了 让 过 程 逻 辑 更 简洁 、 清 晰 和 更 不 易 出 错 ， 从 而 
使 数据 库 不 会 存储 大 量 不 良 信息 。 

2. 数据 

也 许 看 起 来 不 可 能 从 安全 性 的 角度 对 数据 进行 太 多 的 分 析 ， 但 确实 有 很 多 问题 需要 予以 考 
虐 。 事 实 上 ， 很 多 公司 的 数据 分 析 都 做 得 不 够 好 ， 因 为 他 们 把 重点 放 在 了 如 何 管理 和 使 用 
数据 上 ， 而 忽略 了 如 何 确保 数据 的 安全 (有 理由 相信 你 需要 解决 这 三 个 问题 )。 当 分 析 数 
据 时 ， 你 必须 考虑 以 下 这 些 问题 : 

。 谁 能 访问 数据 

。 数据 以 什么 格式 存储 

。 数据 何 时 可 被 访问 

。 数据 存储 在 什么 地 方 

。 为 什么 每 个 数据 项 都 能 作为 应 用 程序 的 一 部 分 被 使 用 

。 数据 如 何 分 解 成 各 个 部 分 ， 以 及 组 合 数据 供应 用 程序 使 用 的 后 果 
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比如 ， 一 些 应 用 程序 没有 执行 数据 隐藏 ， 但 其 实数 据 隐 藏 应 该 是 任何 好 的 应 用 程序 应 该 有 
的 重要 特征 。 它 是 指 只 为 用 户 提供 其 执行 给 定 任务 时 确实 需要 的 信息 。 


一 些 应 用 程序 对 数据 格式 的 处 理 也 不 正确 。 比 如 ， 存 储 明 文 密码 ， 只 要 有 人 攻破 了 系统 ， 
几乎 可 以 肯定 会 出 问题 。 更 好 的 做 法 是 存储 经 过 安全 加 密 算法 〈 还 没有 被 破解 的 算法 ) 处 
理 的 密码 散 列 值 。 散 列 值 对 于 攻破 系统 的 人 来 说 毫 无 用 处 ， 因 为 应 用 程序 需要 的 是 用 来 生 
成 散 列 值 的 原 密码 。 


让 所 有 数据 一 直 可 访问 也 不 是 好 的 做 法 。 对 于 敏感 数据 来 说 ， 应 当 只 在 有 人 监管 其 使 用 并 
能 对 用 户 的 异常 行为 作出 及 时 反应 的 前 提 下 ， 才 将 其 显示 出 来 。 

把 敏感 数据 存储 在 云端 是 相当 糟糕 的 做 法 。 是 的 ， 采 用 云 存储 能 更 方便 和 快捷 地 访问 数 
据 ， 但 也 会 使 数据 更 容易 遭受 攻击 。 当 你 能 直接 使 用 保证 数据 安全 的 所 有 安全 特性 时 ， 请 
将 敏感 数据 保存 在 本 地 服务 器 上 。 


应 用 开发 人 员 喜 欢 提 供 过 多 的 信息 。 你 应 该 采用 数据 隐藏 将 面向 管理 员 的 数据 与 其 他 人 员 
隔绝 。 然 而 ， 有 些 数据 在 应 用 程序 中 根本 没有 被 任何 一 处 地 方 使 用 。 如 果 在 处 理 一 个 任务 
时 确实 不 需要 用 到 某 些 数据 ， 那 就 不 要 将 这 些 数据 添加 到 应 用 中 。 

如 今 的 许多 数据 项 是 其 他 数据 元 素 的 聚合 。 通 过 探测 数据 聚合 方式 分 解数 据 项 来 发 现 数据 
的 各 个 组 成 部 分 ， 黑 客 有 可 能 穷 取 到 关于 公司 的 大 量 信 息 。 关 键 是 要 考虑 如 何 将 数据 合 
并 ， 并 添加 安全 防护 措施 ， 从 而 让 数据 源 更 难 被 发 现 。 

3. 界面 

现今 软件 的 一 大 问题 是 包含 了 不 必要 的 功能 。 一 个 应 用 程序 应 该 满足 一 组 特定 的 目标 ， 或 
者 执行 一 组 特定 的 任务 。 总 有 些 人 在 想 ， 如 果 软 件 能 有 一 些 额 外 的 特性 ， 可 能 会 更 好 ， 虽 
然 这 些 特性 与 其 要 达成 的 核心 目标 完全 无 关 。 功 能 膨胀 这 个 词 由 来 已 入 ， 你 经 常 在 涉及 
金钱 消耗 的 场景 中 发 现 它 ， 比 如 应 用 程序 性 能 问题 的 根源 、 用 户 培 训 费 用 的 提升 ， 以 及 
开发 进度 的 延迟 等 。 但 是 ， 受 功能 膨胀 的 影响 ， 应 用 程序 界面 的 问题 会 因 攻 击 面 (attack 
surface) 的 增加 而 对 安全 性 产生 重大 影响 。 攻 击 面 的 每 一 次 增加 都 会 为 黑客 提供 更 多 人 侵 
公司 系统 的 机 会 。 将 不 必要 的 功能 移 除 或 将 它们 移 到 另 一 个 不 同 的 应 用 中 ， 可 以 减少 应 用 
的 攻击 面 ， 从 而 让 应 用 程序 更 安全 。 当 然 ， 你 也 会 省 下 不 少 钱 。 


男 一 个 潜在 的 威胁 是 提示 界面 ， 它 提供 给 潜在 的 黑客 太 多 信息 或 功能 ， 从 而 丢失 了 应 用 程 
序 的 安全 性 。 虽 然 提 供 一 种 途径 让 用 户 找 回 密码 是 有 必要 的 ， 但 有 些 实现 方式 确实 有 可 能 
让 黑客 得 到 用 户 的 密码 从 而 伪装 成 该 用 户 。 黑 客 甚 至 可 能 会 修改 用 户 的 密码 ， 使 得 真正 的 
用 户 无 法 登录 (但 是 这 一 举动 会 适得其反 ， 因 为 管理 员 能 轻松 恢复 用 户 的 访问 权限 )。 一 
个 更 好 的 系统 要 确保 用 户 在 干 任何 其 他 事情 之 前 先 发 送 认证 请 求 ， 并 确保 管理 员 能 以 安全 
的 方式 发 送 登录 信息 。 

4. 约束 

约束 就 是 一 种 方法 ， 在 允许 执行 某 一 行为 之 前 ， 用 来 确保 其 满足 特定 的 标准 。 例 如 ， 除 非 
用 户 拥 有 相关 权限 ， 否 则 禁止 其 访问 数据 元 素 就 是 一 种 约束 。 但 是 ， 约 束 有 其 他 更 重要 的 
形式 。 最 重要 的 约束 是 确定 用 户 如 何 管理 数据 。 大 部 分 用 户 只 需要 读 取 数据 ， 但 应 用 程序 
通常 提供 了 读 / 写 访问 ， 从 而 打开 了 一 个 巨大 的 安全 缺口 。 
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对 于 数据 也 需要 考虑 约束 。 当 处 理 数 据 时 ， 你 必须 精确 定义 用 什么 来 保证 数据 的 唯一 性 ， 
并 确保 应 用 程序 不 会 破坏 任何 与 唯一 性 有 关 的 规则 。 有 了 这 个 想法 ， 你 一 般 需 要 考虑 下 面 
几 种 约束 ; 


。 确保 数据 有 正确 的 类 型 
。 定义 数据 能 接受 的 值 的 范围 

。 明确 数据 长 度 的 最 大 值 和 最 小 值 
。 列 出 所 有 不 能 接受 的 数据 值 


1.3 ”探究 与 语言 相关 的 问题 


应 用 环境 是 由 所 采用 的 开发 语言 定义 的 。 正 如 每 一 种 语言 都 有 善于 处 理 某 些 任务 的 功能 ， 
每 一 种 语言 也 都 有 造成 安全 风险 的 潜在 问题 。 即 使 是 低级 语言 ， 尽 管 具 有 灵活 性 ， 也 有 因 
复杂 性 引起 的 问题 。 当 然 ， 基 于 Web 的 前 端 应 用 程序 通常 依赖 三 种 特定 的 语言 : HIML、 
CSS 和 JavaScript。 接 下 来 将 描述 与 这 三 种 语言 相关 的 问题 。 


1.3.1 定义 HTML 的 关键 问题 
HTML5 因 支 持 极为 广泛 的 平台 而 变 得 相当 热门 。 不 需要 开发 人 员 编 写 特 殊 的 代码 ， 同 一 
个 应 用 程序 就 能 很 好 地 在 用 户 的 桌面 电脑 、 平 板 设备 和 智能 手机 上 运行 。 通 常 ， 库 、API 
和 微服 务 不 需要 开发 人 员 的 介入 就 能 提供 自动 适 配 宿主 系统 的 内 容 。 但 是 ，HTML5 提供 
的 这 种 灵活 性 也 存在 问题 。 以 下 清单 列 出 了 你 在 使 用 HTML5 时 会 遇 到 的 一 些 关键 的 安全 
性 问题 。 
。 代码 注入 
HTML5 里 有 大 量 黑客 可 用 来 注入 恶意 代码 的 方法 ， 包 括 你 通常 不 认为 可 疑 的 数据 源 ， 
比如 一 段 YouTube 视频 或 是 流 式 音 乐 。 
。 用 户 跟踪 
因为 大 多 数 情况 下 应 用 程序 使 用 了 不 同 来 源 的 代码 ， 所 以 你 可 能 会 发 现 库 、API 或 微服 
务实 际 上 执行 了 一 些 类 型 的 用 户 跟踪 ， 而 黑客 能 利用 其 来 获取 公司 信息 。 你 给 黑客 的 每 
一 份 信息 都 会 让 攻克 系统 安全 变 得 更 容易 。 
。 污染 输入 
除非 你 提供 自己 的 输入 项 检查 ， 否 则 HTML5 会 放行 所 有 用 户 想 要 提供 的 输入 。 你 可 能 
只 需要 一 个 数字 型 的 值 ， 但 用 户 可 能 输入 一 段 脚本 代码 。 尝 试 对 输入 进行 彻底 检测 以 确 
保 真正 得 到 你 要 求 的 输入 数据 ， 这 在 客户 端 近 乎 是 不 可 能 的 ， 所 以 你 还 需要 确保 有 强大 
的 服务 器 端 检查 机 制 。 



















































































































































































HTML5 的 攻击 面 


HTMLS 增加 了 许多 有 趣 的 、 黑 客 非常 训 欢 的 特性 ， 因 为 这 些 特 性 提供 了 更 多 的 攻击 面 。 
例如 ， 在 你 发 现 恶意 软件 能 轻易 利用 LocalStorage 入 侵 系 统 的 本 地 存储 之 前 ，LocalStorage 








看 起 来 是 个 很 好 的 东西 。 你 能 在 网 页 http://www.slideshare.net/shreeraj/html5-localstorage- 
attack-vectors 和 https://blog.whitehatsec.com/web-storage-security/ 上 读 到 这 种 攻击 的 相 
关 细 节 (包括 一 些 攻击 案例 ) 。 


另 一 个 有 问题 的 特性 是 WebSocket。 这 一 特性 允许 客户 端 与 服务 器 端的 双向 通信 。 唯 
一 的 问题 是 ， 客 户 闸 可 能 在 运行 不 可 靠 的 代码 。 你 能 在 网 页 http://www.slideshare.net/ 
SergeyShekyan/bay-threat-2012-websockets 和 http://blog.kotowicz.net/2011/03/html5- 
websockets-security-new-tool-for.html 上 看 到 更 多 关于 这 一 问题 的 资料 ， 其 中 有 些 例子 
会 告诉 你 如 何 使 用 WebSocket 来 克服 安全 保护 的 问题 以 及 潜在 的 解决 方案 。 








1.3.2 ”定义 CSS 的 关键 问题 

Web 应 用 程序 非常 依赖 CSS3 来 创建 美观 的 界面 ， 而 不 需要 为 每 个 设备 硬 编码 相关 信息 。 
已 有 的 CSS3 代码 库 使 得 创建 专业 美观 的 应 用 变 得 简单 ， 并 且 用 户 能 更 换 它 们 来 满足 不 同 
的 需求 。 例 如 ， 用 户 可 能 需要 在 某 一 设备 上 有 一 个 不 同 的 界面 ， 或 者 需要 一 种 特殊 格式 的 
展现 来 满足 一 个 特定 的 需求 。 以 下 列举 了 一 些 在 使 用 CSS3 时 会 遇 到 的 关键 安全 性 问题 。 
设计 主导 

CSS3 代码 导致 安全 问题 的 一 个 主要 原因 是 由 设计 来 主导 一 切 。 标 准 委 员 会 最 初 设计 
CSS 是 用 来 控制 HTML 元 素 的 展现 的 ， 而 不 是 影响 整个 Web 页 面 的 展现 。 因 此 ， 设 
计 师 从 来 不 会 考虑 相关 的 安全 问题 ， 因 为 CSS 就 不 是 用 在 这 一 领域 的 语言 。 问 题 在 于 
CSS 的 样式 级 联 部 分 不 允许 CSS3 知道 除了 其 父 节点 之 外 的 任何 信息 。 因 此 ， 黑 客 能 创 
建 出 一 种 声称 要 做 某 件 事 的 界面 ， 实 际 上 却 做 着 另外 的 事情 。 一 些 库 (如 jQuery) 确实 
能 帮 你 解决 这 一 问题 。 

上 传 的 CSS 

在 某 些 情况 下 ， 应 用 程序 的 设计 者 会 允许 用 户 上 传 一 份 CSS 文件 来 获得 某 一 特定 的 应 
用 外 观 或 让 其 在 一 个 特定 的 平台 上 运行 得 更 加 良好 。 但 是 ， 上 传 的 CSS 也 可 能 包含 一 
些 代码 ， 使 得 黑客 更 容易 破坏 设 在 各 个 地 方 的 安全 措施 ， 或 者 在 可 见 范 围 内 隐藏 脏 东 
西 。 例 如 ， 黑 客 会 在 CSS 里 隐藏 URL， 从 而 将 应 用 重 定向 到 不 安全 的 服务 器 上 。 


CSS 着 色 器 

一 种 特殊 的 CSS 用 法 ， 它 允许 访问 浏览 器 数据 和 跨 域 数据 ， 从 而 会 产生 一 些 极 端的 问 
题 。 本 书后 面 的 章节 会 详细 讨论 相关 的 细节 ， 但 你 能 在 网 页 http://www.w3.org/Graphics/ 
fx/wiki/CSS_Shaders_Security 上 快速 浏览 这 一 话题 。 重 要 的 是 要 明白 ， 有 时 候 在 屏幕 上 
展现 数据 的 行为 会 导致 你 最 初 未 考虑 到 的 潜在 安全 漏洞 。 


1.3.3 定义 JavaScript 的 关键 问题 

JavaScript 和 HIML5 的 结合 已 经 创造 了 整个 Web 应 用 的 奇迹 。 没 有 这 两 种 语言 的 结合 ， 
就 不 可 能 创造 出 在 所 有 设备 上 都 运行 良好 的 各 种 应 用 程序 。 用 户 甚至 不 再 想 用 原来 的 那 
种 应 用 程序 ， 因 为 其 不 能 提供 这 种 能 力 。 现 在 ， 用 户 能 在 任何 地 方 用 适合 该 位 置 的 设备 
完成 工作 。 但 是 ，JavaScript 是 一 门 有 着 严重 安全 缺陷 的 脚本 语言 。 下 面 列 出 了 你 在 使 用 
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JavaScript 时 会 遇 到 的 一 些 关键 的 安全 性 问题 。 


。 跨 站 脚本 (XSS) 
这 一 问题 在 本 章 前 面 出 现 过 ， 因 为 它 是 一 个 非常 严重 的 问题 。 只 要 你 在 沙 盒 环 境 之 外 运 
行 JavaScript， 墨 客 就 有 可 能 对 你 的 应 用 程序 做 一 些 讨厌 的 动作 。 

。 跨 站 请 求 伪造 (CSRF) 
一 段 脚本 能 够 利用 保存 在 cookie 里 的 用 户 赁 据 来 访问 其 他 站 点 。 在 这 些 网 站 上 ， 黑 客 
能 执行 应 用 程序 设计 目的 之 外 的 各 种 任务 。 例 如 ， 黑 客 能 以 用 户 的 名 义 ， 进 行 账户 自 
改 、 窃 取 数 据 、 其 诈 以 及 许多 其 他 的 违法 活动 。 

。 浏览 器 及 其 插件 的 漏洞 
很 多 黑客 会 利用 已 知 的 浏览 器 及 浏览 器 插件 的 漏洞 来 强迫 应 用 程序 执行 其 不 应 执行 的 任 
务 。 例 如 ， 用 户 的 系统 可 能 突然 变 成 了 向 其 他 系统 传送 病毒 代码 的 倪 偶 。 黑 客 能 够 破坏 
的 程度 受 限 于 相关 的 漏洞 。 一 般 来 说 ， 你 要 确保 自己 安装 所 有 的 更 新 ， 并 要 了 人 解 这 些 安 
全 漏洞 会 如 何 影 响应 用 程序 的 作业 。 


1.4 考虑 端点 的 防御 要 素 


端点 是 指 网 络 传输 的 目的 地 ， 比 如 一 个 服务 或 一 个 浏览 器 。 当 数据 包 到 达 端 点 时 ， 其 包含 
的 数据 会 被 解 包 出 来 并 提供 给 应 用 程序 做 进一步 的 处 理 。 端 点 安全 是 至 关 重 要 的 ， 因 为 端 
点 是 网 络 的 一 个 主要 入 口 点 。 除 非 端点 是 安全 的 ， 否 则 网 络 会 接收 到 恶意 的 数据 。 此 外 ， 
糟 料 的 端点 安全 性 会 对 网 络 里 的 其 他 市 点 造成 损害 。 接 下 来 会 讨论 端点 安全 的 三 个 阶段 : 
预防 、 检 测 和 修复 。 


重要 的 是 不 要 低估 端点 安全 性 对 应 用 和 网 络 基础 设施 的 影响 。 一 些 端点 的 情况 
非常 复杂 ， 以 至 于 其 后 果 难 以 被 检测 甚至 理解 。 最 近 的 一 篇 文章 (http://www. 
infoworld.com/article/2926221/security/large-scale-attack-hijacks-routers-through- 
users-browsers.html) 讨论 了 一 种 路 由 器 攻击 ， 攻 击 者 将 毫 无 防范 的 用 户 定向 到 
一 个 特定 的 网 站 。 此 类 攻击 针对 的 是 用 户 发 起 域名 系统 (DNS) 请 求 时 依赖 的 
路 由 器 。 通 过 完全 控制 这 种 路 由 器 ， 攻 击 者 能 将 用 户 重 定向 到 他 控制 的 站 点 。 


















































1.4.1 预防 安全 漏洞 


避免 安全 陷阱 的 第 一 步 是 一 开始 就 水 认 陷 阱 是 存在 的 。 问 题 是 ， 如 今 大 多 数 公 司 并 
不 认为 自己 会 遭遇 数据 安全 陷阱 ， 认 为 这 总 是 发 生 在 其 他 安全 性 不 高 的 公司 。 然 
而 ， 根 据 Ponemon 研究 所 关于 2014 年 全 球 网 络 犯 罪 造成 损失 的 统计 报告 (http://info. 
hpenterprisesecurity.com/LP_CP_424710_Ponemon_ALL)，2014 年 网 络 犯罪 导致 的 损失 金 
额 高 达 1270 万 美元 ， 而 2010 年 该 值 是 650 万 美元 。 显 然 ， 所 有 这 些 入 侵 行 为 不 会 只 发 生 
在 别人 的 公司 ， 它 们 也 很 容易 发 生 在 你 的 公司 ， 所 以 ， 最 好 假设 某 个 地 方 的 某 个 黑客 已 盯 
上 了 你 的 公司 。 事 实 上 ， 如 果 一 开始 就 意识 到 黑客 不 仅 会 人 侵 公司 系统 ， 还 会 偷 走 你 的 财 
物 ， 你 就 会 真正 为 现实 生活 中 的 场景 做 好 准备 。 你 构建 的 所 有 应 用 程序 必须 足够 可 靠 以 实 
现 以 下 功能 : 
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。 对 抗 普通 的 攻击 
。 在 安全 措施 失效 时 发 出 警报 
。 避免 对 可 能 会 发 生 漏洞 的 地 方 做 出 假设 





。 要 假设 即使 是 受过 训练 的 用 户 也 会 犯 导致 安全 事故 的 错误 


不 要 假设 安全 漏洞 只 存在 于 某 些 平台 。 





安全 漏洞 会 出 现在 任何 运行 非 定 制 软 





如 ， 许 多 人 觉得 销售 点 (point-of-sale， 





件 的 平台 上 。 开 发 人 员 为 某 一 平台 做 的 准备 越 少 ， 漏 洞 就 会 变 得 越 严重 。 例 





POS) 终端 机 是 安全 的 ， 但 是 黑客 目前 


正在 大 力 攻 击 此 类 设备 (http://www.computerworld.com/article/2925583/ security/ 





attackers-use-email-spam-to-infect-pos-terminals.html) 以 获取 信用 卡 信息 。 但 有 
趣 的 是 ， 如 果 店 员 正 确 使 用 POS 终端 机 ， 那 此 类 攻击 就 无 法 奏效 。 这 个 例子 
表明 培训 和 强 有 力 的 策略 有 助 于 维持 系统 安 人 全。 当然， 应 用 程序 本 身 还 是 应 该 








足够 可 靠 ， 以 对 抗 这 些 攻 击 。 


继续 阅读 本 书 ， 你 会 发 现 一 些 可 减少 安全 漏洞 的 有 用 技巧 。 一 旦 你 承认 漏洞 会 (并且 很 可 





能 ) 发 生 ， 预 防 安 全 漏洞 的 关键 就 在 于 以 下 几 点 。 
。 创建 用 户 理解 并 喜欢 使 用 的 应 用 ( 见 第 2 章 ) 
。 谨慎 选择 外 部 数据 ( 详 见 1.6.4 节 ) 

。 构建 具有 天 然 人 侵 屏 障 的 应 用 ( 见 第 4 章 ) 








。 测试 所 写 代 码 的 可 靠 性 ， 并 详细 记录 故障 及 其 原因 〈 见 第 5 章 ) 


。 谨慎 选择 外 部 库 、API 和 微服 务 ( 详 见 1.6 节 ) 








。 对 所 有 的 应 用 元 素 ( 甚 至 是 并 非 你 自己 所 有 的 元 素 ) 执 行 全 面 的 测试 策略 ( 详 见 第 三 部 分 ) 
。 管理 应 用 程序 的 各 个 部 分 ,以 确保 安全 防护 措施 不 会 在 应 用 上 线 后 失效 〈 详 见 第 四 部 分 ) 











。 持续 跟 进 最 新 的 安全 威胁 与 解决 策略 ( 见 第 16 





董 ) 


。 培训 开发 人 员 ， 让 他 们 在 每 个 项 目 里 都 自始至终 考虑 安全 问题 ( 见 第 17 章 ) 





1.4.2 ”检测 安全 漏洞 


所 有 公司 最 不 希望 发 生 的 事 是 ， 听 到 别人 的 安全 


了 故 。 在 行业 媒体 上 读 到 自己 公司 无 力 保 





护 用 户 数据 的 报道 是 开始 新 一 天 的 最 糟糕 方式 ， 





晶 这 却 是 许多 公司 学 习 安 全 漏洞 的 方式 。 

















如 有 果 一 家 公司 假设 已 经 发 生 了 数据 泄露 ， 那 它 最 不 可 能 遭受 数据 泄露 导致 的 永久 性 损失 ， 
因而 最 有 可 能 节省 成 本 。 公 司 要 能 检测 数据 泄露 的 出 现 并 防止 它 变 成 一 个 事故 ， 而 不 应 该 




















在 它 发 生 之 后 才 耗 费时 间 与 资源 去 修复 。 检 测 意 味 着 要 提供 必需 的 代码 以 作为 应 用 程序 的 


一 部 分 ， 并 确保 这 些 检测 方法 是 设计 用 来 处 理 目 前 的 安全 威胁 的 。 


作为 一 个 整体 ， 公 司 需要 一 个 响应 安全 漏洞 的 团队 。 但 是 开发 团队 也 需要 在 适当 的 地 方 独 
立地 对 安全 漏洞 进行 检测 。 就 目前 而 言 ， 大 部 分 的 开发 团队 需要 以 下 这 些 领 域 的 专家 : 








。 网 络 
。 数据 库 管 理 
。 应 用 设计 与 开发 
。 移动 技术 
。 网 络 取证 


























定义 应 用 环境 | 15 


。 法 规 遵从 


每 个 应 用 程序 都 需要 一 个 团队 ， 这 个 团队 能 够 定期 讨论 与 应 用 程序 相关 的 安全 需求 和 安全 
威胁 。 除 此 之 外 ， 审 查 各 种 威胁 的 情况 并 确定 其 发 生 时 应 该 采取 的 对 应 措施 也 很 重要 。 准 
备 好 这 些 之 后 ， 你 更 有 可 能 较 早 地 检测 到 安全 漏洞 ， 即 在 管理 层 急 匆匆 问 进 你 的 办 公 室 要 
求 你 给 个 解释 之 前 。 


1.4.3 ”修复 受 损 的 软件 

当 安 全 事故 确实 发 生 了 ， 公 司 与 之 相关 的 任何 团队 都 必须 准备 承担 责任 并 采取 修复 措施 。 
公司 层面 需要 明白 ， 如 果 不 能 尽快 修复 安全 漏洞 并 将 系统 恢复 至 事故 发 生前 的 状态 ， 那 么 
公司 可 能 面临 破产 。 换 言 之 ， 即 使 是 公司 的 高 层 ， 你 也 可 能 要 找 一 份 新 的 工作 了 。 

安全 负责 人 可 能 让 开发 团队 帮忙 定位 攻击 者 。 安 全 信息 与 事件 管理 〈security information 
and event management，SIEM) 软件 能 帮忙 查阅 指向 问题 根源 的 日 志 。 当 然 ， 这 里 假设 你 
的 应 用 程序 确实 记录 了 相关 的 日 志 。 修 复 过 程 的 一 部 分 是 ， 一 开始 就 要 对 应 用 程序 构建 日 
志 记 录 与 跟踪 功能 。 没 有 这 些 信息 ， 要 想 找 到 罪魁 祸首 并 阻止 其 攻击 通常 注定 会 失败 。 
修复 过 程 应 该 包含 对 应 用 程序 各 部 件 的 更 新 和 补丁 进行 检查 的 策略 。 为 了 达成 这 一 目标 ， 
必须 维护 良好 的 应 用 文档 。 当 安全 问题 出 现时 才 创 建 外 部 资源 清单 就 太 迟 了 ， 你 必须 在 安 
全 问题 发 生 之 前 就 将 外 部 资源 清单 掌握 在 和 手中。 当然 ， 为 了 确保 安全 问题 不 再 发 生 ， 开 发 
忆 队 需要 对 所 有 应 用 程序 需要 的 更 新 进行 测试 。 最 后 ， 你 需要 确保 数据 在 整个 过 程 中 始终 
保持 安全 ， 并 执行 应 用 程序 所 需 的 所 有 数据 恢复 。 


1.5 ”处 理 云 存 储 


在 一 个 员工 要 求 随时 随地 能 用 身边 的 任何 一 种 设备 访问 数据 的 世界 里 ， 云 存储 是 一 个 必然 的 
灾难 。 用 户 有 各 种 各 样 的 云 存储 解决 方案 可 以 选择 ， 但 现在 最 热门 的 是 Dropbox (https:/Wwww. 
dropbox.com/) ， 到 2014 年 年 底 它 已 拥有 3 亿 多 用 户 。Dropbox (以 及 很 多 其 他 的 云 存 储 提供 
商 ) 有 着 盛衰 无 常 的 安全 历史 。 例 如 ，2011 年 ，Dropbox 出 现 了 一 个 bug， 任 何人 都 能 用 任 
何 密码 访问 任何 账户 ， 这 一 事故 持续 了 4 个 小 时 [参见 InformationWeek 的 文章 (htpywww。 
darkreading.com/vulnerabilities-and-threats/dropbox-files-left-unprotected-open-to-all/d/d-id/1098442) ]。 
当然 ， 所 有 供应 商都 会 告诉 你 你 的 应 用 数据 现在 是 安全 的 ， 他 们 已 经 提高 了 安全 性 。 如 果 你 认 
为 这 没什么 关系 ， 那 么 黑客 还 将 会 在 云 存 储 服务 里 找到 漏洞 ， 或 者 服务 本 身 会 再 次 出 错 。 


大 部 分 云 存 储 的 主要 问题 在 于 其 天 生 是 公开 的 。 例 如 ， 商 业 版 的 Dropbox 听 
起 来 非常 好 ， 并 且 确 实 提供 了 更 多 的 安全 特性 ， 但 该 服务 仍然 是 公开 的 。 公 
司 不 能 在 自己 的 私有 云 上 使 用 该 服务 。 

此 外 ， 大 多 数 云 服务 宣称 它们 会 在 自己 的 服务 里 加 密 数 据 ， 这 似乎 是 真 的 。 
但 是 ， 这 些 服务 提供 商 通常 以 必须 用 相关 的 凭据 进行 验证 后 才能 访问 你 的 数 
据 为 借口 ， 持 有 着 加 密 密 钥 。 因 为 你 不 拥有 自己 的 加 密 数据 的 密 钥 ， 所 以 就 
不 能 控制 对 数据 的 访问 ， 并 且 加 密 的 作用 也 会 比 你 想象 的 小 得 多 。 






























































































































































Web 应 用 程序 的 安全 是 一 件 大 事 ， 因 为 大 部 分 应 用 〈 即 使 不 是 全 部 ) 始终 要 有 Web 应 用 
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程序 的 基础 。 用 户 想 要 他 们 的 应 用 程序 无 处 不 在 ， 而 浏览 器 几乎 是 唯一 能 以 高 效 的 方式 在 
众多 平台 上 提供 这 种 功能 的 方式 。 简 言 之 ， 你 必须 从 一 开始 就 考虑 云 存 储 的 问题 。 对 于 如 











何 将 云 存储 作为 Web 应 用 程序 策略 的 一 部 分 ， 有 下 面 儿 个 方案 可 供 选 择 。 


阻止 访问 

通过 使 用 防火 墙 ， 指 定 策略 或 应 用 程序 的 特性 ， 确 实 可 能 阻止 所 有 对 云 存 储 的 访问 。 但 
是 ， 想 要 阻止 无 处 不 在 的 想 要 访问 云 存储 的 用 户 去 访问 是 很 难 的， 并 且 ， 用 户 访问 的 意 
愿 是 相当 坚决 的 。 此 外 ， 阻 止 访问 会 对 业务 需求 产生 负面 作用 。 例 如 ， 合 作 伙伴 可 能 会 
选择 云 存储 来 作为 交换 大 文件 的 方法 。 阻 止 策 略 还 会 招致 用 户 的 愤怒 ， 进 而 使 他 们 不 再 
使 用 你 的 应 用 程序 ， 或 者 想 办 法 规避 你 提供 的 这 个 特性 。 当 你 的 公司 必须 管理 大 量 敏 感 
数据 ， 有 保护 数据 的 法 律 要求 ， 或 者 根本 不 需要 用 到 云 存 储 的 灵活 性 时 ， 阻 止 访问 是 最 
好 的 选择 。 

允许 不 受 控 的 访问 

你 可 以 选择 无 视 云 存储 使 用 过 程 中 涉及 的 相关 问题 。 但 是 ， 这 样 的 策略 会 让 公司 面临 数 
据 丢失 、 数 据 泄露 以 及 各 种 各 样 的 其 他 问题 。 不 幸 的 是 ， 许 多 公司 目前 正 是 使 用 这 样 的 
方法 ， 因 为 控制 用 户 的 访问 已 经 变 得 非常 困难 ， 且 这 些 公司 缺乏 采用 其 他 方法 的 手段 。 
依赖 公司 授权 的 安全 场景 
如 果 要 求 用 户 用 公司 账户 访问 云 存 储 ， 你 至 少 能 监控 文件 的 使 用 并 能 在 职员 离职 时 恢复 
数据 。 但 是 ， 云 存储 的 基本 问题 仍然 存在 。 有 相关 知识 的 黑客 仍然 能 侵入 账户 并 窃 走 数 
据 ， 或 者 只 是 以 其 他 方式 来 突 探 你 。 在 你 的 公司 不 需要 管理 法 律 要 求 保护 的 数据 ， 而 你 
也 愿意 用 一 些 安全 性 换取 方便 的 时 候 ， 这 一 方案 是 可 行 的 。 

控制 应 用 程序 的 访问 

许多 云 服 务 支 持 以 特别 的 方式 与 服务 进行 交互 的 API。 虽 然 这 一 方法 非常 耗 时 ， 但 它 确 
实 能 让 你 控制 将 用 户 敏感 数据 保存 在 哪里 ， 同 时 用 户 仍然 能 够 灵活 地 使 用 云 存 储 处 理 不 
敏感 的 数据 。 在 公司 需要 与 大 量 合作 伙伴 进行 交互 ， 还 需要 管理 大 量 敏 感 和 核心 数据 
时 ， 你 应 该 考虑 这 一 方案 。 

依赖 第 三 方 的 解决 方案 

尔 能 找到 一 些 第 三 方 解 决 方案 ， 比 如 Accellion (http://www.accellion.com/)， 它 提供 了 
云 存储 的 连接 器 。 这 种 供应 商 提供 的 服务 可 以 作为 应 用 程序 与 在 线 数据 存储 之 间 的 中 
介 。 用 户 可 以 无 颖 地 与 数据 进行 交互 ， 但 连接 服务 会 根据 你 设置 的 策略 来 控制 访问 。 这 
种 方法 的 问题 在 于 ， 在 开发 应 用 程序 时 你 有 额外 的 一 层 需 要 考虑 。 此 外 ， 你 必须 信任 提 
供 连接 服务 的 第 三 方 。 在 需要 拥有 灵活 性 而 又 不 消耗 一 般 的 开发 成 本 ， 并 且 不 想 创建 依 
赖 于 API 访问 的 解决 方案 时 ， 你 可 以 使 用 这 种 解决 方案 。 








We 









































































































































































































































1.6 ”使 用 外 部 代码 和 资源 


Sk 


当今 的 大 多 数 公司 都 不 具有 完全 从 头 开始 搭建 一 个 应 用 程序 所 需 的 时 间 与 资源 。 此 外 ， 维 








护 这 样 一 个 应 用 程序 的 成 本 会 很 高 。 为 了 让 成 本 处 于 可 控 范 围 ， 公 司 通 常 依赖 各 种 形式 的 
第 三 方 代码 。 这 些 代 码 会 执行 基础 任务 ， 而 开发 人 员 会 像 玩 乐高 玩具 一 样 使 用 它们 组 成 自 
己 的 应 用 程序 。 但 是 第 三 方 代码 并 不 会 消除 安全 方面 的 挑战 。 事 实 上 ， 你 正在 依赖 别人 为 
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你 的 应 用 程序 写 出 不 仅 运 行 良好 、 
会 探讨 在 使 用 外 部 代码 及 资源 时 会 


1.6.1 定义 库 的 使 用 


库 是 任何 你 添加 进 自己 的 应 用 程序 的 代码 。 许 多 人 将 库 定义 得 更 加 广泛 一 些 ， 
其 要 点 是 ， 库 包含 着 代码 ， 并 且 在 应 用 投入 使 用 时 其 已 成 为 应 用 程序 的 一 部 分 。 
常用 的 库 是 jQuery (https://jquery.com/)。 它 为 应 用 程序 提供 了 丰富 的 基础 功能 。 J 
点 是 ， 在 jQuery 里 术语 库 和 API 是 可 互 换 使 用 的 ， 如 图 1-2 所 示 。 


能 执行 所 需 的 所 有 任务 
遇 到 的 一 些 问 题 。 


， 而 且 还 很 安全 的 代码 。 接 下 来 


已 ， 














ery - S 0) 
File Edit View History Bookmarks Iools Help 
了 au x 


HN A 9 | a hips/jquerycom 











Write less, do more. 
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1-2: 很 多 网 站 把 库 和 API 互 换 使 用 





jQuery 的 网 站 还 会 告诉 你 关于 这 个 代码 库 的 最 佳 配置 。 事 实 上 ，jQuery 展示 其 本 身 的 方式 
为 你 想 使 用 的 任何 库 做 了 个 很 好 的 榜样 。 它 有 全 面 的 文档 ， 并 且 你 能 找到 每 个 调用 的 多 个 
例子 (以 确保 你 至 少 能 找到 接近 于 你 想 使 用 的 场景 的 例子 )。 更 重要 的 是 ， 这 些 例子 是 实时 
在 线 的 ， 所 以 你 能 真实 地 看 到 这 些 代码 在 与 应 用 程序 计划 采用 的 同一 款 浏 览 器 上 的 效果 。 


























像 任 何其 








了 解 








去 作 的 。 


他 软件 一 样 ，jQuery 也 有 


自己 的 缺陷 。 








也 的 库 以 及 关于 它们 的 更 多 细节 ， 从 而 开 








大 














共 了 更 多 黑客 可 以 利用 的 攻击 面 。 


随 着 进一步 阅读 本 书 ， 你 会 
始 发 现 功 能 与 安全 是 如 何 一 


为 jQuery 是 一 个 如 此 大 而 复杂 的 库 ， 所 以 它 提供 了 很 多 功能 





当 使 用 库 时 ， 安 全 工作 的 重点 是 你 的 应 用 程序 ， 因 为 你 从 主机 服务 器 上 下 载 用 于 应 用 程序 
的 代码 。 库 的 代码 是 在 进程 内 执行 的 ， 所 以 你 需要 明确 获取 库 代 码 的 源头 是 可 信任 的 。 第 
6 章 探讨 了 使 用 外 部 库 作 为 应 用 程序 开发 策略 一 部 分 的 复杂 性 。 


1.6.2 ”定义 API 的 使 用 


API 是 任何 可 以 像 进程 外 服务 一 样 调用 的 代码 。 如 果 你 发 送 一 个 请 求 给 API， 那 API 就 会 
响应 你 所 请 求 的 资源 。 资 源 通常 是 某 种 类 型 的 数据 ， 但 API 也 执行 其 他 类 型 的 任务 。 其 特 
点 是 ， 代 码 驻 留 在 其 他 系统 里 而 不 会 成 为 应 用 程序 的 一 部 分 。 因 为 API 是 以 请 求 / 响应 方 
式 工 作 的 ， 所 以 它们 能 提供 比 库 更 广泛 的 平台 支持 ， 但 其 运行 速度 会 比 库 慢 ， 因 为 其 代码 
与 使 用 它 的 系统 并 不 在 一 个 地 方 。 


API 的 一 个 优秀 例子 是 Amazon 提供 给 不 同 开 发 人 员 的 服务 (https://developer.amazon. 
com/)。 图 1-3 展示 了 其 中 的 少量 服务 。 你 必须 为 你 想 用 的 每 个 API 进行 注册 ， 且 大 多 数 
情况 下 Amazon 会 给 你 一 个 特殊 的 密 钥 。 因 为 你 正 与 Amazon 的 服务 器 进行 交互 ， 而 不 是 
简单 地 把 代码 下 载 到 自己 的 系统 中 ， 所 以 使 用 API 时 应 遵从 的 安全 规则 是 不 一 样 的 。 
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Amazon Web Services Amazon Web Services provides Amazon's developer customers with access to 
in-the-cloud infrastructure services based on Amazon's own back-end technology 
platform, which developers can use to enable virtually any type of business. 








Amazon Store The Amazon Appstore allows developers to distribute and sell their Android and HTML5 
web apps to millions of customers in nearly 200 countries around the world. The Amazon 
Mobile App SDK provides APIs, tools, and resources to take advantage of these features. 
APIs such as Amazon In-App Purchasing, Mobile Ads, Mobile Associates and GameCircle 





help developers monetize their apps and games and engage their customers. 


Services for Game Developers Amazon provides game developers a wide range of tools and services to help them build, 
distribute, scale, optimize and monetize their games. We designed these services to help 
developers move more quickly, reach new customers, and sell more content. Learn more 
about how game developers are using Amazon in their games and apps. 


Fire Phone., Fire Tablets, and Fire TV Learn how to build your apps for Fire Phone, Fire Tablets, and Fire TV. Many apps work 
as-is without changes. 
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图 1-3: Amazon API 是 一 个 代码 在 外 部 主机 服务 器 上 执行 的 例子 
每 个 API 都 有 自己 的 生命 周期 且 依 靠 不 同 的 方法 去 处 理 管理 数据 等 问题 。 因 此 ， 当 比较 两 
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个 API 时 ， 即 使 它们 都 来 自 同一 家 机 构 ， 你 也 不 能 对 其 中 一 个 作出 任何 安全 性 方面 的 假设 。 


API 还 依赖 信息 交换 。 任 何 信息 交换 都 要 求 有 额外 的 安全 保障 ， 因 为 你 的 部 分 数据 始终 会 
沙 在 自己 的 主机 系统 上 。 你 需要 明白 主机 应 提供 适当 的 安全 措施 来 保护 请 求 中 传递 的 数 
据 。 第 7 章 探讨 了 如 何 安全 地 将 API 作为 应 用 程序 开发 策略 的 一 部 分 。 


1.6.3 ”定义 微服 务 的 使 用 


与 API 类 似 ， 微 服务 也 是 在 主机 系统 上 运行 。 你 发 出 请 求 ， 微 服务 则 响应 某 种 类 型 的 资源 
(通常 是 数据 )。 但 是 ， 微 服务 与 API 差异 巨大 。 微 服务 的 重点 放 在 小 型 任务 上 ， 一 个 典型 
的 微服 务 专注 于 把 单一 任务 执行 好 。 此 外 ， 微 服务 往往 很 关注 平台 的 独立 性 ， 其 特点 是 ， 
提供 的 服务 要 能 与 任何 规模 、 具 有 任何 能 力 的 任何 平台 进行 交互 。API 与 微服 务 关注 点 的 
不 同 会 极 大 地 影响 安全 形势 。 例 如 ，API 往往 更 具 安全 意识 ， 因 为 其 所 在 主机 能 对 发 起 请 
求 的 平台 作出 更 多 假设 ， 并 且 一 旦 出 问题 ， 损 失 也 会 更 大 。 


目前 的 微服 务 也 往往 是 自 产 自 销 的 ， 因 为 这 一 技术 还 比较 新 。 看 看 现在 提供 API 的 网 站 ， 
一 旦 该 技术 发 展 起 来 ， 它 们 也 会 开始 提供 微服 务 。 与 此 同时 ， 看 看 诸如 微服 务 架 构 (http:// 
microservices.io/) 这 样 的 网 站 ， 仔 细 审 查 微 服务 有 何不 同 之 处 是 值得 的 。 这 个 网 站 提供 了 
示例 应 用 以 及 关于 当前 在 线 代码 不 同 使 用 模式 的 讨论 ， 如 图 1-4 所 示 。 
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Microservice architecture 


Patterns Artices Presentations Resources Otherlanguages About 


Microservice architecture patterns and best practices 


Today, there are several trends that are forcing application architectures to evolve. Users expect a rich, interactive and 
dynamic user experience on a wide variety of clients including mobile devices. Applications must be highly scalable, highly 
available and run on cloud environments. Organizations often want to frequently roll out updates, even multiple times a day. 
Consequently, it's no longer adequate to develop simple, monolithic web applications that serve up HTML to desktop browsers. 
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This site describes a new, alternative architecture: microservices. Applications with a microservice architecture consist of a set 
of narrowly focused, independently deployable services. Read on to find out more about this approach and its associated 
trade-offs. A good starting point is the Monolithic Architecture pattern 


Example application 


Want to see an example? Check out Chris Richardson's example code 


The patterns 


e Monolithic architecture 

e Microservices architecture 
e API gateway 

e Client-side discovery 

e。 Server-side discovery 

。 Service registry 

e Self registration 




















图 1-4: 微服 务 是 一 门 新 技术 ， 而 该 网 站 会 通过 不 同 的 使 用 模式 来 帮 你 认识 它们 





当 使 用 微服 务 时 ， 你 需要 确保 其 所 在 的 主机 是 可 信赖 的 ， 且 微服 务 执行 的 单个 任务 是 明确 
定义 的 。 还 有 一 点 很 重要 ， 要 学 虑 微服 务 如 何 与 你 提供 的 任何 数据 进行 交互 ， 且 不 要 假设 
每 一 个 微服 务 都 以 相同 的 方式 与 数据 进行 交互 (就 算 这 些微 服务 存在 于 同一 台 计 算 机 上 )。 
微服 务 的 使 用 意味 着 效率 以 及 在 更 广泛 平台 上 工作 的 能 力 ， 但 你 还 需要 意识 到 额外 的 安全 
检查 的 要 求 。 第 8 章 探 讨 了 如 何 安全 地 将 微服 务 作为 应 用 程序 开发 策略 的 一 部 分 。 


1.6.4 ”访问 外 部 数据 

外 部 数据 有 各 种 各 样 的 形式 。 任 何 形式 的 外 部 数据 都 是 可 疑 的 ， 因 为 有 人 会 在 单纯 的 数据 
访问 行为 中 对 数据 进行 自 改 。 但 是 ， 对 数据 按 其 可 见 级 别 进行 分 类 ， 对 我 们 考虑 安全 要 求 
的 相关 事宜 是 有 帮助 的 。 

你 通常 可 以 认为 私有 数据 源 是 相对 安全 的 ， 不 过 你 仍然 需要 检查 数据 是 否 存在 潜在 的 有 害 
元 素 (比如 数据 库 字 段 中 的 加 密 脚 本 )。 但 是 大 部 分 情况 下 ， 数 据 源 本 身 并 不 会 刻意 尝试 
引起 问题 。 下 面 是 最 常见 的 作为 外 部 私有 数据 源 的 信息 存储 来 源 : 

。 存储 在 你 自己 公司 主机 上 的 数据 

。 存储 在 合作 伙伴 计算 机 上 的 数据 

。 由 在 服务 器 上 运行 的 应 用 程序 计算 出 的 数据 

。 从 传感器 或 公司 提供 的 其 他 数据 源 引 入 的 数据 

付费 的 数据 来 源 也 是 相对 安全 的 。 任 何 提供 付费 数据 访问 服务 的 人 都 希望 维持 与 你 的 关 
系 ， 并 且 声 誉 在 这 一 领域 是 最 重要 的 。 就 本 地 和 私有 数据 而 言 ， 你 需要 验证 数据 不 会 损坏 
或 存在 潜在 威胁 ， 比 如 一 些 脚 本 。 但 是 ， 因 为 数据 还 需要 在 公共 网 络 上 传输 ， 所 以 你 需要 
检查 是 否 存在 由 诸如 中 间 人 攻击 这 样 的 原因 而 引起 的 数据 伪造 和 其 他 潜在 问题 。 


你 可 以 找到 很 多 有 趣 的 在 线 数 据 仓库 ， 当 你 开发 应 用 时 ， 它 们 很 有 用 。 不 用 
自己 创建 数据 或 依靠 付费 渠道 ， 你 通常 可 以 找到 一 份 免费 的 数据 源 。Registry 
of Research Data Repositories 这 样 的 网 站 现在 就 提供 API， 让 你 能 更 准确 地 搜 
索 到 适合 的 数据 仓库 。 在 此 情况 下 ， 你 能 在 网 页 http://service.re3data.org/api/ 
doc 上 找到 相关 的 API 文档 。 











































































































数据 仓库 可 能 会 存在 问题 ， 并 且 仓 库 越 公开 ， 就 越 会 产生 问题 。 数 据 仓 库 的 使 用 方式 确实 
有 所 区 别 ， 但 确保 你 得 到 的 是 真正 的 而 不 是 伪造 的 数据 ， 这 是 最 重要 的 。 大 多 数 情况 下 ， 
尔 能 在 使 用 数据 之 前 将 其 下 载 下 来 并 进行 扫描 。 比 如 ， 图 1-5 所 示 的 世界 卫生 组 织 网 站 就 
提供 了 和 划 选 数据 仓库 的 方法 ， 让 你 能 够 准确 地 找到 所 需 的 数据 ， 然 后 你 可 以 仅 下 载 那 部 分 
数据 集 ， 从 而 降低 得 到 不 想 要 的 数据 的 风险 。 
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图 1-5: 有 些 数据 仓库 (比如 世界 卫生 组 织 的 数据 库 ) 是 可 下 载 的 


很 多 数据 仓库 和 方法 可 以 访问 它们 所 存储 的 数据 。 你 所 使 用 的 技术 依赖 数据 仓库 的 接口 以 
及 应 用 程序 的 需求 。 请 务必 阅读 第 3 章 中 与 数据 仓库 有 关 的 内 容 。 第 6 章 、 第 7 章 和 第 8 
章 讨论 了 如 何在 库 、API 和 微服 务 中 使 用 外 部 数据 。 每 一 个 环境 都 有 不 同 的 要 求 ， 所 以 准 
确 地 理解 代码 会 如 何 影响 访问 数据 的 方法 ， 进 而 需要 什么 样 的 安全 措施 来 保障 无 害 地 使 用 
数据 ， 这 是 很 重要 的 。 


1.7 ”人 允许 他 人 访问 


本 章 绝 大 部 分 内 容 讨 论 了 对 资源 的 保护 ， 或 者 对 由 他 人 提供 的 数据 和 资源 的 使 用 。 企 业 不 
是 存在 于 真空 中 。 当 你 创建 了 一 份 数据 源 、 库 、API、 微 服务 或 别人 能 用 的 其 他 资源 时 ， 
第 三 方 通常 就 会 请 求 访问 它们 。 只 要 人 允许 第 三 方 访问 这 些 资源 ， 你 就 将 自己 的 网 络 暴露 给 
了 你 可 能 永远 无 法 想象 的 法 在 安全 威胁 。 商 业 伙伴 也 许 是 其 他 实体 ， 它 们 似乎 相当 可 靠 且 
` 会 带 来 问题 。 但 是 ， 它 们 的 病毒 会 变 成 你 的 病毒 。 它 们 面临 的 任何 安全 威胁 都 会 变 成 你 
要 面临 的 安全 威胁 。 如 果 有 很 多 第 三 方 在 使 用 你 的 资源 ， 那 么 很 可 能 至 少 有 一 个 存在 安全 
问题 并 且 会 导致 你 也 出 问题 。 

当然 ， 在 做 任何 事 之 前 ， 你 需要 确保 提供 给 外 部 的 东西 与 你 想象 的 一 样 好 。 确 保 提供 的 应 
用 程序 的 安全 性 是 很 重要 的 。 作 为 资源 的 提供 者 ， 你 突然 成 为 多 个 外 部 实体 的 单一 故障 
点 。 维 持 环境 安全 意味 着 要 完成 以 下 事项 : 

















。 定期 检查 所 有 资源 以 确保 它们 是 可 用 的 
。 提供 有 用 的 资源 文档 
。 确保 第 三 方 开发 者 遵守 规则 (通过 在 采购 语言 里 加 入 安全 性 要 求 等 ) 

。 执行 必要 的 安全 测试 

。 持续 跟 进 资源 存在 的 潜在 威胁 

。 更 新 主机 资源 以 避免 已 知 的 漏洞 

将 资源 提供 给 外 部 访问 的 开发 者 还 需要 考虑 其 他 的 问题 ， 但 这 些 问题 对 于 任何 外 部 访问 的 
场景 来 说 都 是 很 普遍 的 。 此 外 ， 你 必须 期 望 第 三 方 去 测试 资源 以 确保 他 们 是 按 所 给 建议 操 
作 的 。 例 如 ， 当 提供 库 、API 或 微服 务 时 ， 你 必须 期 望 第 三 方 会 执行 输入 和 输出 测试 ， 而 
不 是 简单 地 相信 你 所 说 的 ， 资 源 会 按 预 期 运行 。 


一 旦 通过 了 将 资源 提供 机 须 维护 这 些 资源 ， 以 便 应 用 程序 
能 继续 依靠 其 运行 。 此 外 ， 想 象 你 在 提供 资源 时 面临 着 某 些 威胁 是 很 重要 的 。 下 面 是 一 些 
你 必须 考虑 的 事项 , 


。 黑客 会 尝试 利用 你 的 资源 来 人 侵 你 的 网 站 
。 开发 人 员 会 滥用 资源 ， 并 尝试 用 它 执 行 其 设计 目的 以 外 的 任务 
。 资源 会 以 某 种 方式 受 损 
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第 2 章 


迎合 用 户 需 求 与 期 望 





除非 你 可 以 说 服用 户 接受 安全 ， 否 则 它 将 无 法 奏效 。 在 得 不 到 用 户 支 持 的 情况 下 ， 任 何 苛 
刻 的 设备 开发 者 想 设法 增强 安全 性 最 终 都 会 失败 ， 因 为 用 户 善于 寻找 绕 过 安全 的 方式 。 当 
安全 性 足够 完备 ， 可 以 阻挡 除 磊 强 用 户 之 外 的 所 有 用 户 的 尝试 时 ， 用 户 会 拒绝 使 用 该 应 用 
程序 。 大 量 失败 应 用 程序 的 案例 证 明了 一 个 事实 ， 即 增强 安全 性 时 一 定 需 要 某 种 程度 的 用 
户 协助 ， 所 以 ， 最 好 让 用 户 参 与 你 作出 的 任何 决定 。 


用 户 对 应 用 程序 有 两 个 级 别 的 需求 ， 且 安全 性 必须 满足 这 两 个 级 别 的 需求 。 用 户 需要 拥有 
足够 的 自由 来 完成 工作 所 需 的 任务 。 当 一 个 应 用 程序 无 法 满足 用 户 的 需求 时 ， 它 就 是 一 个 
失败 的 应 用 程序 。 用 户 的 期 望 则 是 额外 的 需求 。 用 户 希 望 应 用 程序 能 在 公司 设备 之 外 的 个 
人 设备 上 使 用 。 根 据 应 用 程序 的 不 同情 况 ， 确 保 应 用 程序 及 其 安全 性 能 在 最 广泛 的 平台 上 
工作 ， 能 为 你 带 来 良好 的 声誉 ， 从 而 更 容易 让 用 户 接受 安全 性 方面 的 要 求 。 


本 章 探 讨 了 需求 和 期 望 ， 因 为 它们 与 安全 性 相关 。 对 许多 开发 者 来 说 ， 编 写 代 码 的 目的 是 
创建 运行 良好 且 满 足 所 有 需求 的 应 用 程序 。 但 是 ， 编 写 代码 的 真正 目的 是 要 创建 出 能 让 用 
户 成 功 且 安 全 地 与 数据 交互 的 环境 。 虽 然 数据 是 应 用 程序 的 焦点 ， 但 用 户 才 是 触发 面向 数 
据 的 修改 的 手段 。 


2.1 从 用 户 的 视角 看 待 应 用 程序 


用 户 和 开发 者 常常 就 安全 问题 发 生 争执 ， 因 为 他 们 看 待 应 用 程序 的 角度 完全 不 同 。 开 发 者 
关注 的 是 实现 各 种 有 趣 功能 的 精 雕 细 琢 的 代码 ， 而 用 户 关注 的 是 达到 最 终 目 的 的 手段 。 事 
实 上 ， 用 户 可 能 根本 不 关注 应 用 程序 。 用 户 关 心 的 只 是 在 截止 日 期 前 得 到 一 份 报告 或 其 他 
产品 。 对 于 用 户 来 说 ， 最 好 的 应 用 程序 是 不 可 见 的 。 当 安全 性 成 为 阻碍 应 用 程序 变 得 不 可 
见 的 因素 时 ， 它 就 会 变 成 用 户 想 要 规避 的 问题 。 总 之 ， 让 应 用 程序 及 其 相关 的 安全 性 尽 可 
能 地 对 用 户 不 可 见 是 最 好 的 ， 离 这 一 目标 越 近 ， 用 户 就 会 越 喜欢 使 用 你 的 应 用 程序 。 
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当前 事件 确实 会 让 开发 者 和 用 户 产 生 和 争执 。 比 如 ，Ashley Madison 网 站 被 
黑 (http://www.computerworld.com/article/2982959/cybercrime-hacking/ashley- 








madison-coding-blunder-made-11m-passwords-easy-to-crack.html) 就 让 开发 者 
特别 担心 ， 并 不 太 可 能 对 这 样 的 事 妥协 。 在 某 些 情况 下 ，UI 和 用 户 体 验 专 家 
可 以 在 开发 者 和 用 户 之 间 调 解 ， 提 出 一 个 对 双方 都 有 利 的 方案 。 当 涉及 安全 
问题 时 ， 若 双方 情绪 激动 且 某 些 解决 方案 对 其 中 一 方 来 说 不 可 接受 时 ， 打 破 
常规 进行 思考 是 很 有 价值 的 。 























开发 人 员 的 问题 在 于 他 们 真 的 不 会 像 用 户 那 样 思考 。 抽 象 技术 的 炫 酷 特 性 让 开发 人 员 无 法 
抵制 。 一 个 开发 团队 应 至 少 包 含 一 位 用 户 代 表 (组 织 中 一 位 真正 能 代表 典型 用 户 的 人 )。 
此 外 ， 你 应 该 将 用 户 作为 测试 流程 中 的 一 部 分 。 就 像 应 用 程序 里 的 其 他 bug 一 样 ， 如 果 在 
开发 阶段 的 早期 就 发 现 不 起 作用 的 安全 措施 ， 修 复 起 来 就 更 容易 。 如 果 一 项 安全 措施 对 用 
户 来 说 是 麻烦 的 、 繁 重 的 、 显 而 易 见 的 或 仅仅 是 令 人 厌烦 的 ， 那 它 就 是 失败 的 ， 即 使 其 确 
实 能 保护 用 户 数据 。 


虽然 本 书 没 有 讨论 开发 运营 (development and operations，DevOps) 的 开发 
方法 ， 但 你 应 该 考虑 将 其 作为 应 用 程序 设计 与 开发 策略 的 一 部 分 。 开 发 运营 
(开发 和 运营 的 组 合 ) 强调 沟通 、 协 作 、 一 体 化 、 自 动 化 ， 以 及 任何 应 用 程 
序 开发 过 程 中 的 利益 相关 者 之 间 的 合作 。 你 可 以 在 网 站 http://devops.com/ 上 
找到 很 多 关于 开发 运营 的 资料 。 很 多 人 尝试 描述 开发 运营 ， 但 描述 比较 清晰 
的 是 Patrick Debois 的 一 篇 博文 (http://www.jedi.be/blog/2010/02/12/what-is- 
this-devops-thing-anyway/)。 虽 然 这 篇 文章 有 点 老 旧 ， 但 它 很 好 地 概述 了 什么 
是 开发 运营 ， 它 解决 什么 问题 ， 以 及 你 该 如 何在 自己 的 应 用 程序 里 使 用 它 。 












































安全 问题 确实 是 一 家 公司 必须 解决 的 问题 。 如 果 作为 开发 人 员 ， 你 是 唯一 一 位 尝试 创建 安 
全 解决 方案 的 人 ， 那 该 方案 几乎 肯定 要 失败 。 应 用 程序 的 用 户 视角 对 于 让 用 户 参 与 定义 应 
用 程序 的 安全 策略 是 很 关键 的 。 但 是 ， 创 建 解决 方案 还 必须 让 以 下 人 员 参 与 : 

。 管理 层 〈 确 保 公司 的 目标 达成 ) 
。 法 务 人 员 (确保 数据 保护 措施 满足 政府 要 求 ) 

。 人 力 资源 (确保 你 不 会 伤害 任何 人 的 感情 ) 

。 技术 支持 (确保 进行 了 所 有 需要 的 培训 ) 

。 所 有 参与 定义 控制 数据 管理 的 经 营 策略 的 利益 相关 者 


毕竟 ,执行 数据 管理 的 规则 就 是 安全 的 全 部 意义 所 在 。 安 全 不 只 是 确保 黑客 不 会 发 现 保存 
数据 的 隐藏 文件 来。 安全 是 对 数据 的 可 靠 保护 ， 这 样 用 户 就 能 对 其 做 出 负责 任 的 改动 ， 破 
坏 性 的 改动 则 被 规避 了 。 


2.2 ”考虑 自 带 设 备 的 问题 


用 户 会 从 家 里 带 来 自己 的 设备 并 用 其 访问 你 的 应 用 程序 ， 要 习惯 这 一 情况 。 理 论 上 来 说 ， 
尔 能 创建 检测 哪些 设备 正在 访问 你 的 应 用 程序 的 方法 ， 但 事实 上 ， 在 许多 情况 下 用 户 会 找 
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到 绕 开 这 些 检测 的 方法 。 与 在 有 明确 硬件 配置 信息 的 条 件 下 进行 开发 相 比 ， 开 发 能 在 自 带 
设备 (Bring Your Own Device，BYOD) 环境 中 运行 恨 好 的 应 用 程序 要 困难 得 多 ， 但 可 以 
达到 更 好 的 效果 。 关 键 是 要 假定 用 户 会 依赖 他 们 自己 的 设备 ， 并 以 此 为 目标 实现 应 用 程序 
安全 性 。 接 下 来 描述 了 在 处 理 BYOD 时 会 面临 的 问题 以 及 解决 这 些 问题 的 一 些 潜在 方案 。 


为 了 省 钱 ， 有 些 公司 确实 接受 了 BYOD， 这 意味 着 这 些 公司 里 的 开发 人 员 没 
有 用 于 测试 的 标准 设备 。 这 类 公司 简单 地 认为 用 户 拥有 同时 适用 于 工作 和 娱 
乐 的 设备 。 如 果 你 的 公司 是 其 中 一 员 ， 那 你 不 仅 需要 应 对 把 BYOD 设备 作为 
公司 设备 替代 品 的 情况 ， 并 且 还 需 应 对 将 BYOD 设备 作为 唯一 选择 的 情况 。 
了 解 用 户 拥 有 哪些 类 型 的 设备 是 值得 的 ， 这 样 对 于 将 哪些 种 类 的 设备 用 于 应 
用 程序 的 测试 以 及 如 何 设 置 使 用 应 用 程序 的 设备 标准 ， 就 有 了 决策 的 基础 。 


2.2.1 理解 基于 Web 的 应 用 程序 的 安全 性 


最 有 可 能 实现 BYOD 的 方案 就 是 为 每 一 个 需求 创建 基于 Web 的 应 用 程序 。 然 后 用 户 就 能 
依靠 智能 手机 、 平 板 电脑 、 笔 记 本 电脑 、PC 或 任何 安装 了 合适 浏览 器 的 其 他 设备 访问 应 
用 程序 。 但 是 ， 基 于 Web 的 应 用 程序 也 很 难保 障 安全 。 想 想 那些 为 所 有 设备 提供 除 密码 安 
全 外 的 所 有 功能 的 需求 。 事 实 上 ， 密 码 这 个 词 在 这 里 的 真正 意义 甚至 可 能 不 是 一 个 密码 ， 
在 你 的 情况 里 可 能 只 限于 指 个 人 身份 号 码 (personal identification number，PIN) 。 对 于 基于 
Web 的 应 用 程序 来 说 ， 大 多 烙 情 况 下 最 注 开 的 安全 环节 是 移动 设备， 为 了 让 移动 设备 更 安 
全 ， 你 需要 考虑 执行 以 下 这 些 步骤 。 


(1) 让 应 用 程序 的 所 有 利益 相关 者 (包括 用 户 、CIO、CISO、 人 力 资源 以 及 开发 团队 以 外 的 
其 他 人 ) 参与 到 应 用 程序 特性 的 决策 过 程 中 来 。 你 一 步 ， 因 为 这 里 的 每 
个 人 都 会 帮 你 制定 聚焦 于 用 户 和 业务 需求 的 策略 ， 还 能 让 你 找 出 与 未 满足 的 期 望 (不 是 
需求 ) 相关 的 问题 。 

(2) 以 书面 形式 制定 一 个 移动 安全 策略 。 如 果 在 会 议 期 间 商定 协议 但 没有 以 书面 形式 记录 下 
来 ， 人 们 往往 会 忘记 商定 过 什么 ， 并 且 这 会 在 后 面 的 流程 中 变 成 问题 。 一 旦 你 有 了 一 个 
书面 的 策略 ， 就 要 确保 每 个 人 都 知道 它 并 已 阅读 过 它 。 这 对 于 正在 进行 应 用 程序 设计 的 

开发 人 员 来 说 特别 重要 。 

(3) 确保 管理 层 理解 为 安全 措施 提供 资金 支持 的 需求 。 如 今 的 大 多 数 公司 在 面 对 安 全 问题 时 

都 存在 资源 缺乏 的 情况 。 如 果 一 个 开发 团队 缺少 相关 资源 去 构建 安全 的 应 用 程序 ， 那 么 

这 些 应 用 程序 就 会 有 很 多 可 供 黑客 利用 的 漏洞 。 对 开发 工作 的 资金 支持 必须 在 开发 进程 

开始 前 就 到 位 。 

(4) 获取 正确 的 工具 来 创建 安全 的 应 用 程序 。 开 发 团队 从 一 开始 就 需要 有 合适 的 工具 ， 否 则 将 
不 能 取得 想 要 的 结果 。 在 大 多 数 情况 下 ， 开 发 人 员 对 安全 目标 会 力不从心 ， 因 为 他 们 缺乏 
合适 的 工具 来 实现 安全 性 策略 。 以 下 是 一 些 通常 会 用 到 的 与 解决 该 领域 器 题 相关 的 工具 : 
a. 用 户 或 系统 认证 
b. 数据 加 密 
c. 移动 设备 管理 
d. 通用 的 反 病 毒 保护 
e. 虚拟 私有 网 络 (virtual private network，VPN) 支持 (需要 时 ) 
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f 防止 数据 丢失 
g. 主机 入 侵 防御 

(5) 与 有 强大 安全 专业 技能 的 公司 建立 合作 关系 (如果 有 必要 )。 在 大 多 数 情况 下 ， 公 司 会 
缺乏 有 适当 专业 技能 的 开发 人 员 。 从 已 经 成 功 部 署 大 量 基于 Web 的 应 用 程序 的 公司 那 
里 获取 这 些 技能 ， 会 让 你 的 公司 节省 时 间 与 工作 量 。 

(6) 开始 开发 工作 。 只 有 在 为 应 用 程序 创建 了 强大 的 支持 系统 之 后 ， 你 才能 开始 开发 工作 。 
当 你 遵循 这 些 步骤 时 ， 就 能 够 创建 出 一 个 环境 ， 使 得 安全 性 从 一 开始 就 是 Web 应 用 程 
序 的 一 部 分 ， 而 不 是 在 后 期 加 上 去 的 。 


一 份 基于 IT 和 安全 专业 人 员 的 2014 年 IDG 研究 服务 报告 描述 了 大 量 
与 移动 设备 使 用 有 关 的 问题 。 最 热门 的 问题 (75% 的 专业 人 士 投票 ) 是 
数据 泄露 ， 这 是 公司 交 给 开发 人 员 通 过 应 用 程序 约束 来 防止 发 生 的 事 
情 。 设 备 的 丢失 与 被 次 有 71% 的 人 投票 ， 紧 接着 是 不 安全 的 网 络 访问 
(56%)、 恶 意 软件 (53%) 以 及 不 安全 的 WiFi (41% ) 。 



































2.2.2 ”考虑 原生 应 用 的 问题 


对 基于 Web 的 应 用 程序 相关 的 问题 的 直接 反应 就 是 用 原生 应 用 程序 替代 。 毕 竞 ， 开 发 人 员 
很 了 解 该 技术 ， 且 有 可 能 使 用 操作 系统 的 安全 特性 来 确保 应 用 程序 能 如 最 初 预 期 般 保 护 数 
据 。 但 是 ， 原 生 应 用 程序 的 时 代 已 进入 倒计时 。 随 着 代码 变 得 更 加 复杂 ， 支 持原 生 应 用 程 
序 变 得 更 加 困难 。 此 外 ， 提 供 从 众多 平台 访问 应 用 程序 意味 着 你 能 获得 以 下 的 重要 益处 : 
。 提升 工作 人 员 之 间 的 协作 性 

。 增强 客户 服务 

。 在 任意 地 点 访问 企业 信息 

。 提升 工作 效率 


当然 ， 支 持 众多 平台 有 许多 其 他 好 处 ， 但 是 这 一 清单 指出 的 是 使 用 原生 应 用 程序 的 问题 。 
如 有 果 你 真 的 想 用 原生 应 用 程序 来 确保 更 好 的 安全 性 ， 就 需要 为 每 一 个 想 支 持 的 平台 开发 一 
个 原生 应 用 程序 ， 这 会 变 成 一 个 巨大 的 工程 。 对 大 多 数 公 司 来 说 ， 从 增强 安全 性 和 提升 应 
用 程序 控制 的 角度 出 发 ， 花 费时 间 开 发 所 需 的 这 些 应 用 程序 是 不 值得 的 。 


有 些 公司 尝试 用 混合 方式 绕 过 原生 /基于 Web 的 应 用 程序 这 一 问题 ， 但 这 
一 方式 在 许多 情况 下 工作 得 并 不 好 。 例 如 ， 给 原生 应 用 程序 使 用 一 个 iOS、 
Android 或 是 基于 Web 的 接口 很 容易 出 错 ， 并 会 带 来 潜在 的 安全 问题 。 使 用 
纯 基 于 Web 的 应 用 程序 当然 会 更 好 。 















































2.2.3 ”使 用 定制 化 浏览 

在 开发 基于 Web 的 应 用 程序 时 ， 你 可 以 走 定制 化 浏览 器 的 道路 。 在 某 些 情况 下 ， 这 意味 着 
写 一 个 包含 浏览 器 功能 的 原生 应 用 程序 。 原 生 应 用 程序 会 提供 额外 的 特性 ， 因 为 它 可 以 将 
安全 做 得 更 好 ， 同 时 基于 Web 的 应 用 程序 还 能 让 手机 访问 不 太 敏感 的 功能 ， 这 会 让 用 户 非 
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常 开心 。 有 些 语言 (如 C#) 提供 了 立即 可 用 的 、 相 对 实用 的 定制 浏览 器 能 力 。 但 是 ， 使 
用 任何 一 种 应 用 程序 语言 都 能 创建 定制 浏览 器 。 


和 组 织 讨 论 将 在 智能 手机 和 平板 设备 上 使 用 锁 死 开关 (kill switch) 作为 应 用 
程序 开发 策略 的 一 部 分 ， 这 是 个 很 好 的 主意 。 锁 死 开关 能 让 被 盗 的 智能 手机 
成 为 无 用 的 垃圾 。 根 据 《 今 日 美国 》 上 的 一 篇 文章 (http:/www.usatoday.com/ 
story/tech/2015/02/11/kill-switch-theft-down/23237959/) ， 锁 死 开 关 的 使 用 极 大 地 
降低 了 几 个 大 城市 的 手机 偷盗 率 。PC Worl4 上 最 近 的 一 篇 文章 (http://www. 
peworld.com/article/2367480/10-things-to-know-about-the-smartphone-kill-switch. 
html) 提供 了 一 些 关 于 帮助 管理 层 了 解锁 死 开 关 是 如 何 工作 的 相关 信息 。 在 许 
多 情况 下 ， 你 必须 安装 相关 软件 以 使 锁 死 开关 可 用 。 使 用 锁 死 开 关 可 能 听 起 来 
很 极端 ， 但 比 起 让 黑客 访问 敏感 的 企业 数据 要 好 一 些 。 




















除了 直接 的 安全 项 ， 定 制 化 浏览 器 的 解决 方案 还 让 间接 的 安全 选项 更 简单 。 虽 然 在 应 用 程 
序 中 创建 的 定制 浏览 器 可 提供 完整 的 功能 ， 但 应 用 程序 开发 者 可 选择 不 实现 某 些 特性 。 例 
如 ， 你 可 以 选择 不 允许 用 户 输入 URL 或 依靠 历史 功能 在 不 同 页 面 间 切 换 。 应 用 程序 仍然 
会 像 任何 其 他 浏览 器 一 样 展现 页 面 ， 但 不 能 以 标准 浏览 器 的 方式 控制 会 话 。 这 层 控制 使 得 
访问 更 敏感 的 信息 成 为 可 能 ， 因 为 用 户 将 不 能 进行 通常 会 导致 病毒 下 载 、 信 息 泄露 或 破坏 
应 用 程序 环境 的 那些 事情 。 当 然 ， 每 一 条 规则 都 会 有 例外 。 如 果 一 种 针对 浏览 器 库 和 函数 
以 窃取 信息 的 病毒 已 经 存在 于 系统 内 ， 那 该 病毒 很 可 能 仍旧 可 以 获取 由 使 用 了 该 库 的 定制 
浏览 器 管理 的 内 容 。 

定制 浏览 器 的 环境 还 让 开发 者 有 机 会 使 用 在 一 般 情况 下 不 能 工作 的 那些 编程 技术 。 在 让 第 
三 方 库 、 框 架 、API 和 微服 务 正常 运行 方面 ， 开 发 者 不 断 遇 到 问题 ， 因 为 不 是 每 一 个 浏览 
器 都 能 提供 必要 的 支持 。 例 如 ， 为 了 检测 某 个 浏览 器 是 否 支持 你 想 使 用 的 HTMLS5 特性 ， 
你 需要 使 用 HTML5test (https://html5test.com/) 这 样 的 网 站 来 检查 它 ， 以 获取 潜在 问题 领 
域 的 列表 ， 如 图 2-1 所 示 。 
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图 2-1: 使 用 标准 浏览 器 意味 着 寻找 潜在 支持 问题 
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定制 浏览 器 方案 的 问题 在 于 ， 用 户 选 用 的 设备 不 同 会 引起 用 户 支持 的 差异 。 当 这 些 差异 存 
在 时 ， 开 发 者 通常 会 遭受 惩罚 。 用 户 会 想 在 最 公开 的 地 点 用 最 不 安全 的 设备 访问 公司 最 敏 
感 的 数据 。 想 象 在 星巴克 用 一 部 智能 手机 处 理 病人 记录 的 情形 。 数 据 可 能 最 终 会 出 现在 任 
何 地 方 ， 而 数据 泄露 将 几乎 肯定 会 发 生 。 在 某 些 情况 下 ， 开 发 人 员 需 要 与 从 管理 层 往 下 的 
每 个 人 合作 ， 以 制定 出 一 份 合理 的 数据 处 理 措施 清单 ， 这 意味 着 使 用 定制 化 浏览 器 的 解决 
方案 将 不 会 太 流行 ， 但 它 会 有 利于 实施 稳健 的 数据 管理 策略 。 


2.2.4 验证 代码 兼容 性 问题 


BYOD 现象 意味 着 用 户 会 使 用 各 种 各 样 的 设备 。 当 然 ， 这 是 一 个 问题 。 但 是 ， 更 严重 的 一 
个 问题 是 ， 用 户 会 在 这 些 设备 上 使 用 老 旧 的 软件 ， 因 为 旧版 本 的 软件 用 起 来 比较 舒服 。 使 
用 老 旧 软件 的 后 果 是 ， 应 用 可 能 会 出 现 问题 ， 但 这 些 问题 不 在 于 应 用 程序 ， 而 是 由 非常 陈 
旧 的 软件 导致 的 代码 兼容 性 问题 。 为 此 ， 你 需要 依赖 HTML5test (在 前 一 节 介 绍 过 ) 这 样 
的 解决 方案 来 检查 用 户 的 软件 ， 以 确保 其 满足 最 低 要 求 。 

解决 该 问题 的 另 一 个 方法 是 ， 在 开发 应 用 程序 时 发 现 潜在 的 代码 兼容 性 问题 。 例 如 ， 图 
2-2 展示 了 提供 HTMLS5 文档 的 网 站 W3Schools.com (http://www.w3schools.com/tags/)。 网 
页 的 底部 有 一 个 支持 某 一 特性 的 浏览 器 列表 以 及 支持 该 特性 所 需 的 浏览 器 版 本 号 。 通 过 在 
开发 应 用 程序 时 跟踪 这 些 信 息 ， 你 有 可 能 减少 代码 兼容 性 问题 。 最 起 码 ， 你 能 够 告诉 用 户 
必须 使 用 哪些 版 本 的 浏览 器 才能 在 自己 的 设备 上 运行 你 的 应 用 程序 。 
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图 2-2: 验证 你 计划 使 用 的 代码 特性 在 用 户 浏览 器 上 是 否 能 正常 运行 





另外 一 件 很 重要 的 事情 是 ， 要 注意 有 些 网 站 会 以 简明 的 方式 告诉 你 一 些 兼容 性 问题 。 
W3Schools.com 这 个 网 站 也 提供 了 这 一 功能 。 注 意 ， 图 2-3 展示 的 HTML 标签 清单 会 告诉 
你 哪些 是 HTMLS5 支持 的 标签 ， 哪 些 不 是 。 掌 握 了 这 些 信息 ， 就 能 在 编码 阶段 节省 大 量 时 
间 ， 因 为 你 不 必 浪 费时 间 尝 试 找 出 为 什么 某 一 特性 在 某 个 用 户 系统 里 不 能 按 预 期 方式 工作 。 
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0 <a> Defines a hyperlink 
HTTP Messages 
HTTP Methods <abbr> Defines an abbreviation or an acronym 
PX to EM Converter 
Keyboard Shortcuts <acronym> Not supported in HTML5. Use <abbr> instead. 
Defines an acronym 
HTML Tags <address> Defines contact information for the author/owner of a 
pe document 
<DOCTYPE> <applet> Not supported in HTML5. Use <embed> or <object> instead. 
ss Defines an embedded applet 
<abbr> 
<acronym> <area> Defines an area inside an image-map 
<address> 
<applet> <article> 日 Defines an article 

















图 2-3: 找 出 能 以 简明 方式 告诉 你 版 本 问题 的 文档 很 重要 


大 多 数 开发 人 员 会 体验 到 的 一 个 严重 的 代码 兼容 性 问题 是 ， 让 HTMLS5 在 老 旧 的 浏览 器 
上 正常 显示 。 比 如 http:/www.w3schools.com/html/html5_browsers.asp 这 样 的 网 站 为 你 提 
供 了 一 些 可 用 的 答案 。 例 如 ， 它 展示 了 如 何 用 htmL5shiv 来 让 正 浏 览 器 支持 HIML5 元 
素 。cdnjs (https://cdnjs.com/) 网 站 包含 各 种 各 样 这 类 有 用 的 JavaScript 插件 。 你 能 够 在 网 
页 https:Wcdnjs.comylibraries 上 找到 它们 。 图 2-4 只 展示 了 可 用 库 的 一 小 部 分 清单 。 不 幸 的 
是 ， 你 需要 自己 为 所 有 这 些 库 找 出 例子 ， 因 为 该 网 站 没有 提供 太 多 有 用 的 信息 。 多 数 的 
代码 库 文档 在 GitHub 上 。 例 如 ， 你 可 以 在 网 页 https://github.com/afarkas/html5shiv 上 找到 
html5shiv.js 的 文档 。 


























C libraries -cdnjs.com-t... x 








图 | 全) A hitpsi//cdnjs.com/libraries ve | | 1| 此 罗 | 三 


cdnjs search Browse Libraries About Issues Uptime Network Chat Add alib 
Search for a ibrary 


Realtime search by Algolia 
Link 


https://cdnjs.cloudflare.com/ajax/libs/1140/2.0/1140.min.css 





https://cdnjs.doudflare.comy/ajax/ibs/16pixels/0.1.5 
/16pixels.min.css 


https://cdnjs.doudflare.com/ajax/libs/6px/1.0.3/6px.min.js 
https://cdnjs.dloudflare.com/ajax/libs/6to5/3.6.5/browser.js 
https://cdnjs.dloudflare.com/ajax/libs/960gs/0/960.css 


https://cdnjs.cloudflare.com/ajax/libs/ANnDS/0.9.3/anijs-min.js 














图 2-4: cdnjs 网 站 提供 了 大 量 有 用 的 库 


你 会 发 现 CDN 这 一 缩写 在 网 络 上 随处 可 见 。CDN (content delivery network， 
内 容 分 发 网 络 ) 是 提供 各 种 类 型 网 络 内 容 的 一 系列 服务 。CDN 的 目标 是 提 
供 高 度 可 用 性 及 快速 的 分 发 。 当 需要 的 时 候 ， 它 还 可 以 提供 区 域 适 配 的 内 
容 。 所 以 ，cdnjs 就 是 一 个 专门 设计 用 来 获取 JavaScript 代码 并 让 它 可 为 广 
大 开发 人 员 所 用 的 CDN， 就 像 Google CDN (https://developers.google.com/ 
speed/libraries/) 所 做 的 那样 。 


2.2.5 ”处理 几 乎 连续 的 设备 更 新 


你 的 应 用 程序 需要 足够 灵活 以 处 理 各 种 奇怪 的 场景 。 如 今 比 较 常见 的 一 个 场景 是 处 理 几 笠 
连续 的 设备 更 新 。 在 这 种 情况 下 ， 用 户 可 能 前 一 天 还 非常 愉快 地 在 智能 手机 上 使 用 你 的 应 
用 程序 ， 但 第 二 天 却 不 能 了 。 常 见 的 做 法 是 责备 用 户 ， 但 大 多 数 情况 下 用 户 是 无 率 的 。 整 
个 问题 的 根源 在 于 更 新 常常 在 用 户 没有 同意 或 知情 的 情况 下 就 发 生 了 。 不 幸 的 是 ， 一 次 更 
新 可 能 导致 以 下 问题 : 

。 代码 兼容 性 问题 

。 安全 漏洞 

。 设置 丢失 

。 设备 无 法 启动 

。 数据 损坏 
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解决 这 一 问题 的 一 种 方法 是 将 关闭 自动 更 新 作为 应 用 程序 安全 策略 的 一 部 分 。 在 已 经 将 
更 新 作为 推出 过 程 的 一 部 分 进行 测试 之 后 才 手 动 进行 更 新 ， 是 确保 应 用 程序 将 继续 运行 
的 最 佳 方式 。 不 幸 的 是 ， 这 一 解决 方案 并 不 能 奏效 。 除 非 发 生 了 某 些 错误 ， 否 则 用 户 不 
会 拿 他 们 的 设备 进行 测试 。 就 算 用 户 愿 意 拿 出 自己 的 设备 ， 你 也 可 能 不 具有 进行 测试 所 
需 的 资源 。 


另 一 种 解决 方案 是 将 应 用 程序 设计 成 在 启动 阶段 自动 对 更 新 进行 检查 。 如 有 果 应 用 程序 运行 
所 需 的 产品 版 本 号 发 生 了 改变 ， 应 用 程序 能 将 这 一 信息 发 送 给 管理 员 ， 作 为 潜在 解决 方案 
的 提醒 。 

创建 灵活 的 设计 也 是 处 理 不 断 更 新 问题 的 方法 。 虽 然 用 高 明 的 编程 技巧 来 帮助 保证 数据 安 
全 看 起 来 是 一 个 不 错 的 主意 ， 但 它 可 能 并 不 是 。 坚 持 采用 最 佳 开 发 实践 的 策略 ， 在 可 能 的 
时 候 使 用 标准 库 ， 将 安全 性 保持 在 合理 的 级 别 ， 这 些 都 有 助 于 保证 在 用 户 设备 发 生 隐 项 的 
更 新 后 ， 应 用 程序 还 能 够 继续 运行 。 否 则 ， 你 可 能 会 在 宝贵 的 周末 花费 大 量 的 时 间 尝 试 解 
决 阻碍 应 用 程序 运行 的 安全 性 问题 。 


2.3 设计 密码 的 可 选 方案 


密码 看 起 来 是 识别 用 户 的 直接 方式 。 你 很 容易 更 改 密码 ， 让 它们 足够 复杂 以 降低 被 别人 猪 
出 的 可 能 性 ， 且 它们 是 非常 轻 量 的 。 但 是 用 户 认为 密码 很 难 使 用 ， 甚 至 难以 记 住 ， 并 且 会 
成 为 对 你 设置 在 某 处 的 安全 措施 的 痛苦 提醒 。( 在 这 种 情况 下 ， 那 些 必须 不 断 重 置 密码 的 
支持 人 员 会 同意 的 用 户 感受 。) 用 户 不 想 要 输入 密码 来 访问 或 使 用 应 用 程序 的 某 些 功能 。 
遗憾 的 是 ， 你 仍然 需要 一 些 方法 来 确定 用 户 的 身份 。 接 下 来 描述 了 一 些 成 熟 的 方案 〈 你 如 
今 可 以 实现 的 )， 这 有 助 于 你 找到 最 合适 的 解决 方案 。 















































































































































浅 谈 近 场 通信 
技术 上 更 有 趣 的 发 展 之 一 是 已 为 各 种 需求 使 用 了 近 场 通信 (Near Field Communication ， 
NFC)。NFC 是 主要 用 于 产品 的 无 线 射频 识别 (radio frequency identification，RFID) 
技术 的 扩展 。 你 可 以 在 所 买 的 每 一 样 商品 上 找到 无 源 标签 。RFID 电子 标签 还 扮演 着 安 
全 设备 的 角色 ， 但 其 主要 目的 是 识别 产品 。 扫 描 器 发 出 的 无 线 电 波 会 赋予 电子 标签 能 
量 ， 且 电子 标签 会 返回 所 包含 的 信息 。NEFC 是 RFID 的 高 频 子 集 ， 前 者 提供 了 一 些 特 
别 的 特性 ， 有 助 于 你 为 应 用 程序 创建 实 全 解决 方案 ， 其 中 包括 以 下 方面 : 
。 同一 设备 能 同时 作为 发 送 者 和 电子 标签 
。 设备 之 间 能 安全 地 交换 信息 
。 能 根据 需要 对 设备 再 编程 
。 设备 包含 智能 与 本 地 存储 ， 这 令 其 比 RFID 更 灵活 
NFC 提供 了 消除 密码 的 可 能 。 一 个 人 可 以 有 一 个 谋 入 了 芯片 的 信用 卡 大 小 的 ID 徽章 。 
将 此 徽章 轻 触 到 支持 NFC 的 设备 上 就 能 完成 登录 。 今天 已 经 有 许多 支持 NFC 的 设备 ， 
其 中 包括 PC、 平板 电脑 和 智能 手机 ， 所 以 这 一 方案 能 够 在 各 处 生效 。 











因为 这 一 技术 目前 还 不 成 熟 ， 所 以 仔细 评估 你 的 选择 很 重要 。 幸 运 的 是 ， 万维网 联 
盟 (World Wide Web Consortium，W3C) 已 经 在 制定 Web 开发 的 标准 。 你 能 在 网 页 
http://www.w3.o0rg/TR/nfc/ 上 看 到 相关 草案 。 符 合 这 一 标准 的 库 、API 或 微服 务 能 提供 
必要 的 资源 ， 以 创建 满足 公司 与 用 户 需求 的 可 靠 应 用 程序 ， 同 时 降低 支持 成 本 并 让 应 
用 程序 更 易 为 用 户 所 用 。 最 妙 的 地 方 在 于 ，NFC 的 解决 方案 能 让 你 创建 真正 安全 的 应 
用 程序 。 











2.3.1 使 用 口令 


密码 难 记 。 创 建 一 个 !jS2zd5L8 这 样 的 密码 会 让 黑客 很 难 猜 出 ， 并 且 能 提升 应 用 程序 及 其 
数据 安全 的 概率 。 但 是 ， 这 样 的 密码 也 不 太 好 记 ， 所 以 用 户 经 常 将 甚 写 到 某 个 地 方 。 事 实 
上 ， 用 户 可 能 只 是 在 硬盘 上 保存 了 一 份 文件 以 方便 访问 。 当 然 ， 黑 客 知道 这 一 情况 并 会 查 
找 这 样 的 文件 。 总 之 ， 从 安全 的 角度 看 ， 密 码 是 一 个 很 好 的 做 法 ， 但 从 用 户 的 角度 看 ， 其 
是 可 怕 的 设计 。 但 是 ， 使 用 非常 容易 记忆 的 口令 有 可 能 可 以 实现 相同 级 别 的 安全 性 。 

口令 是 一 种 部 分 可 读 的 语句 。 你 可 以 组 合 字母 、 数 字 以 及 特殊 字符 ， 让 密码 更 复杂 。 例 
如 ， 你 可 以 创建 一 个 I Luv flew3rs! 这 样 的 口令 。 这 一 口令 包含 了 大 写 和 小 写字 有 母 、 数 
字 以 及 特殊 字符 。 它 能 对 抗 字典 和 其 他 常用 的 暴力 攻击 。 它 可 能 会 比 多 数 用 户 采 用 的 密码 
长 。 但 是 ， 其 仍然 很 好 记 。 用 户 不 需要 把 口令 写 下 来 。 

今天 的 用 户 确 实 有 理由 抱怨 他 们 需要 记 住 的 密码 的 长 度 。 一 种 可 以 考虑 的 作 
为 解决 方案 的 技术 是 密码 保险 箱 。 密 码 保险 箱 能 以 一 种 安全 的 方式 保存 大 量 
用 户 密 码 ， 可 让 用 户 继续 使 用 复杂 的 密码 。 















































用 户 选 择 他 们 能 记 住 的 口令 很 重要 ， 但 不 要 与 应 用 程序 、 用 户 的 个 人 生活 或 其 工作 环境 有 
关 。 我 们 没有 理由 让 黑客 在 猜测 密码 时 占据 优势 。 所 以 ，I work in ROOm 23a. 这 样 的 口令 
确实 不 是 很 好 ， 太 容易 被 猪 到 了 。 


简单 告知 用 户 使 用 口令 不 会 有 什么 效果 。 事 实 上 ， 用 户 仍 将 使 用 secret 和 
master 这 样 的 密码 ， 因 为 他 们 已 使 用 很 长 时 间 了 。 用 户 往往 会 拒绝 让 他 们 的 
工作 变 得 哪怕 一 丁点 儿 不 顺 的 事情 。 因 此 ， 你 仍然 必须 在 应 用 程序 代码 里 执 
行 复杂 规则 ， 以 强迫 用 户 在 涉及 密码 时 采用 比 一 般 的 弱 密 码 更 好 的 密码 。 如 
果 用 户 不 得 不 使 用 一 个 复杂 的 密码 ， 那 么 使 用 口令 的 做 法 就 会 变 得 更 吸引 人 。 





















































2.3.2 ”使 用 生物 识别 的 方案 

生物 识别 的 解决 方案 依靠 你 作为 人 的 某 些 唯 一 特征 来 生成 密码 。 生 物 识别 的 观点 是 ， 生 物 
学 密码 对 于 一 个 特定 的 人 是 唯一 的 ， 其 不 易 被 偷 走 ， 用 户 不 会 丢失 它 ， 且 密码 足以 复杂 到 
黑客 无 法 猜测 (至 少 不 容 易 )。 下 面 是 三 个 最 常 使 用 的 生物 识别 解决 方案 。 
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这 


指纹 
虹膜 
声 纹 
三 种 解决 方案 都 有 人 缺陷， 黑客 有 攻克 它们 的 方法 ， 所 以 你 可 能 要 选择 另 一 种 生物 识别 方 








案 或 将 其 中 一 种 与 其 他 认证 方式 结合 使 用 。 相 关 供应 商 有 一 些 正 在 开发 中 的 生物 识别 替代 
方案 ， 下 面 描述 了 其 中 的 一 些 。 


心跳 

一 个 更 有 趣 的 生物 识别 替代 方案 是 结合 带 分 析 算 法 的 心率 监视 器 。 事 实 上 这 种 方案 已 经 
以 Nymi 智能 手 环 (https://www.nymi.com/) 的 方式 出 现 。 该 方案 依靠 NFC 将 用 户 的 密 
码 传输 给 任何 支持 NFC 的 设备 。 用 同一 个 手 环 可 以 登录 计算 机 ， 启 用 某 个 应 用 程序 功 
能 ， 打 开房 门 ， 或 者 发 动 汽车 。 

人 脸 识 别 

在 电影 《少数 派 报告 》 中 ， 当 人 们 走 在 街 上 时 ， 摄 像 头 扫描 他 们 的 脸 并 展示 在 广告 里 。 有 
趣 的 是 ， 这 一 技术 已 经 以 Facebook 的 Deepface (https://research.facebook.com/publications/ 
deepface-closing-the-gap-to-human-level-performance-in-face-verification/) 的 形式 出 现 。 只 
要 注视 连接 了 摄像 头 的 计算 机 ， 你 就 能 登录 系统 并 获得 所 有 需要 的 应 用 程序 功能 。 
Facebook 最 近 称 (http://money.cnn.com/2014/04/04/technology/innovation/facebook-facial- 
recognition/) 甚 能 从 正面 或 侧面 进行 扫描 ， 这 使 得 该 方案 比 其 他 生物 识别 方案 更 灵活 。 


有 趣 的 是 ， 人 们 拍 的 所 有 自拍 照会 使 执法 机 构 及 其 他 人 非常 容易 地 建立 
起 一 个 人 脸 识别 数据 库 ， 这 能 让 任何 人 都 无 所 授 形 。 只 要 想 想 每 个 商店 
里 的 摄像 头 都 能 根据 人 们 的 脸 部 特征 将 其 识别 出 来 所 带 来 的 影响 。 


















































耳 形 

你 像 打 电话 一 样 把 智能 手机 放 在 耳 朱 上 。 但 是 ， 你 听 不 到 别人 对 你 讲话 ， 而 是 登 
录 进 了 一 个 应 用 程序 。 这 一 方案 已 经 以 Ergo Lock Screen 应 用 程序 (http://www. 
descartesbiometrics.comy/ergo-app/) 的 形式 出 现 。 


输入 识别 技术 

每 个 人 都 有 不 同 的 输入 方式 。 打 字 的 速度 、 按 住 键 的 时 间 ， 甚 至 是 输入 字母 的 间隔 ， 都 
能 识别 出 作为 打字 者 的 你 。 通 过 输入 一 段 特定 的 语句 并 监控 你 如 何 输入 ， 应 用 程序 可 创 
建 一 种 双 因 素 认证 ， 这 与 只 是 输入 密码 并 没有 什么 不 同 。 但 是 ， 现 在 黑客 窃取 到 密码 
后 仍然 用 不 了 它 。 一 家 已 经 实现 该 技术 方案 的 公司 是 Coursera， 他 们 在 Signature Track 
(https://blog.coursera.org/post/40080531667/signaturetrack) 中 使 用 了 这 一 技术 。 





























生物 特征 识别 技术 的 承诺 并 不 能 完全 匹配 现实 中 的 生物 特征 。 你 从 描述 中 会 知道 ， 黑 客 已 
经 想 出 了 攻克 生物 学 密码 的 方法 。 如 果 用 户 的 密码 泄露 ， 你 只 需要 给 他 一 个 新 的 密码 。 但 
是 ， 如 果 用 户 的 指纹 信息 被 泄露 ， 实 在 不 可 能 把 他 们 的 手指 割 下 并 接 上 新 的 手指 。 

















为 什么 使 用 双 因 素 认 证 
大 多 数 单 因素 认证 方案 的 问题 在 于 它们 有 一 个 很 容易 被 利用 的 弱点 。 例 如 ， 黑 客 可 通 
过 社会 工程 学 的 攻击 或 是 暴力 来 窃取 密码 或 口令 。 通 过 使 用 双 因 素 认证 ， 可 以 降低 认 
证 过 程 被 攻克 的 风险 。 当 然 ， 有 人 会 说 三 因素 或 四 因素 认证 会 更 好 ， 但 那样 会 导致 没 
有 人 能 登录 进 自家 账号 的 情况 。 


有 很 多 类 型 的 双 因 素 认证 。 例如， 你 可 以 给 用 户 一 个 密码 和 一 个 令 牌 。 你 还 可 以 将 密 
码 与 生物 特征 识别 方案 结合 起 来 。 许 多 银行 目前 就 使 用 了 双 因 素 认证 ， 并 且 你 可 以 在 
Google、Facebook 和 Twitter 这 些 网 站 上 有 选择 地 使 用 它 。 


双 因 素 认证 的 问题 与 单 因素 认证 的 问题 一 样 ， 那 就 是 通常 用 户 根本 不 喜欢 身份 认证 。 
人 们 觉得 应 该 可 以 在 不 做 任何 额外 操作 的 情况 下 使 用 应 用 程序 。 当 然 ， 认 证 是 重要 的 ， 
并 且 你 应 该 为 核心 或 敏感 的 数据 做 双 因 素 认 证 。 但 是 ， 从 用 户 的 角度 考虑 选择 最 适合 
的 认证 方式 ， 这 也 很 重要 。 如 果 你 想 要 安全 方案 得 以 成 功 ， 创 建 灵 活 的 解决 方案 至 关 
重要 。 











2.3.3 依靠 钥匙 卡 


大 部 分 人 把 钥匙 卡 看 作 一 种 较 旧 的 技术 ， 但 它 仍 被 广泛 使 用 。 例 如 ， 去 住 汽车 旅馆 时 前 台 
的 人 员 可 能 会 给 你 一 个 有 特殊 编码 的 磁 条 钥匙 卡 。 钥 匙 卡 替 代 了 以 前 使 用 的 钥匙 。 有 些 公 
司 还 会 使 用 钥匙 卡 去 满足 不 同 的 需求 ， 例 如 控制 访问 如 停车 场 这 样 的 区 域 。 一 个 钥匙 卡 与 
一 个 个 人 身份 号 码 (PIN) 的 结合 通常 用 来 控制 对 敏感 区 域 的 访问 。 可 以 说 你 在 生活 中 可 
能 不 止 一 次 地 使 用 过 钥匙 卡 。 


钥匙 卡 技术 在 持续 地 提升 。 一 些 现代 的 钥匙 卡 看 起 来 根本 不 像 一 张 卡 ， 它 们 
会 以 小 饰物 或 其 他 设备 的 形式 出 现 ， 用 户 能 将 其 挂 在 钥匙 链 上 或 挂 在 膀子 
上 。 通 过 使 用 RFID 或 NFC 技术 ， 用 户 甚至 不 需要 去 刷 某 个 设备 ， 只 需 在 锁 
前 摇 一 摇 就 可 以 了 。 可 是 ， 负 是 卡 的 原理 没有 改变 。 你 拥有 一 个 包含 了 安全 
信息 的 物理 设备 ， 用 户 用 它 来 访问 资源 而 不 是 靠 输入 密码 。 
























































个 人 电脑 也 会 使 用 钥匙 卡 技术 。 你 能 用 它 来 控制 对 整个 个 人 电脑 的 访问 ， 或 者 控制 对 某 个 
应 用 程序 的 访问 。 当 用 于 访问 某 个 应 用 程序 时 ， 开 发 人 员 需 要 开发 读 取 卡 信息 的 代码 ， 检 
测 其 有 效 性 ， 并 认证 用 户 。 

使 用 钥匙 卡 的 主要 优点 是 ， 它 能 提供 复杂 的 密码 及 汶 在 的 其 他 细节 来 帮助 识别 用 户 。 为 了 
防范 墨客， 密码 可 以 设 得 尽 可 能 复杂 。 根 据 所 使 用 的 技术 ， 你 甚至 可 以 很 容易 地 改变 钥匙 
卡 的 信息 ， 所 以 密码 的 更 改 操 作 不 会 有 太 高 的 成 本 。 钥 匙 卡通 常 也 比较 大 ， 用 户 不 会 经 党 
弄 丢 (虽然 你 可 以 预见 有 些 用 户 至 少 会 把 一 些 钥匙 卡 忘 在 什么 地 方 )。 因 为 该 技术 由 来 已 
和 久 ， 所 以 比 起 其 他 安全 解决 方案 ,钥匙 卡 的 成 本 相对 比较 低 。 用 户 也 比较 倾向 于 选择 钥匙 
卡 (丢失 时 除外 )， 因 为 它们 比较 快 且 易 于 使 用 。 


钥匙 卡 的 主要 缺点 是 用 户 会 忘记 将 其 放 在 哪里 或 遗忘 在 家 里 。 丢 失 的 钥匙 卡 能 为 黑客 提供 
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对 公司 造成 真正 损害 的 入 侵 机 会 。 即 使 只 是 把 钥匙 卡 遗 忘 在 家 里 ， 提 供 一 张 临时 卡 也 是 种 
额外 的 支持 开销 。 当 然 ， 还 有 在 用 户 不 再 需要 时 回收 临时 钥匙 卡 的 问题 。 


Secura Key (http://securakey.com/) 是 一 个 可 查阅 各 类 钥匙 卡 技术 的 网 站 。 这 
个 网 站 展示 了 很 多 你 能 使 用 的 钥匙 卡 方案 。 你 甚至 能 找到 一 些 键盘 ， 比 如 
IOGEAR 模式 (http://www.iogear.com/product/GKBSR201/)， 它 们 有 必需 的 
钥匙 卡 读 卡 器 作为 键盘 的 一 部 分 。 甚 要 点 是 减少 使 用 应 用 程序 所 需 的 用 户 交 
互 ， 以 减少 潜在 的 用 户 错误 和 数据 泄露 。 























2.3.4 依靠 USB key 


USB key 实质 上 是 一 个 包含 一 个 或 多 个 密码 或 令 牌 的 内 存 驱动 器 。 你 将 USB key 插入 电脑 
并 启动， 电脑 会 使 用 其 中 的 数据 登录 系统 。 同 一 个 key 中 可 以 包含 访问 多 个 应 用 程序 的 多 
个 密码 。 应 用 程序 需要 识别 key 中 的 密码 ， 但 该 技术 可 以 实现 在 不 输入 密码 或 任何 其 他 信 
息 的 情况 下 登录 应 用 程序 。Google 正在 使 用 USB key 方案 (https://www.technologyreview. 
com/s/510106/googles-alternative-to-the-password/) ， 并 且 你 会 意识 到 其 他 厂家 也 会 跟随 这 一 
做 法 。 与 钥匙 卡 相 比 ，USB key 有 以 下 显著 的 优点 : 


。 不 需要 获取 新 的 USB key 就 能 更 改 密码 
。 能 包含 多 个 密码 

。 总 体 成 本 低 于 使 用 钥匙 卡 

。 可 以 升级 各 类 凭据 


当然 ，USB key 有 许多 与 钥匙 卡 类 似 的 缺点 。 例 如 ， 用 户 不 管 是 丢失 了 钥匙 卡 还 是 USB 
key， 结 果 都 是 相同 的 ， 该 用 户 不 再 能 登录 应 用 程序 而 其 他 人 可 以 。 事 实 上， 由 于 USB key 
比 钥匙 卡 小 ， 因 此 用 户 会 更 有 可 能 丢失 USB key， 并 且 泄 露 的 不 仅仅 是 一 个 密码 。 


2.3.5 ”实现 令 牌 策略 

你 通常 会 用 智能 手机 来 实现 一 套 令 牌 策略 。 某 个 网 站 向 用 户 发 送 短信 、 图 片 或 声音 以 作为 

登录 计算 机 的 方式 。 例 如 ，lliri (http:Wwww.illiri.com/) 网 站 会 发 送 一 段 声音 到 用 户 的 智 

能 手机 上 ， 用 户 只 要 将 其 播放 给 计算 机 就 能 登录 。 同 样 ，Clef (https://getclef.com/) 网 站 

使 用 图 片 做 了 同样 的 事情 。 在 这 两 个 案例 中 ， 你 可 以 选择 每 次 发 送 不 同 的 令 牌 给 用 户 进行 

登录 操作 ， 这 意味 着 即使 黑客 窃取 了 某 个 令 牌 ， 也 根本 没有 用 。 

在 大 部 分 情况 下 ， 在 双 因 素 认证 系统 中 ， 应 用 程序 会 将 令 牌 作为 第 二 认证 方式 。 第 一 认证 

方式 仍然 是 钥匙 卡 、 生 物 学 特征 、 密 码 或 口令 。 从 理论 上 说 ， 如 果 愿 意 ， 你 也 可 以 将 令 牌 

作为 主 认证 方式 。 比 起 其 他 认证 方法 ， 这 种 方式 会 带 来 以 下 这 些 你 需要 解决 的 问题 。 

。 用 户 需 要 一 直 将 智能 手机 带 在 身边 。 

。 丢失 手机 可 能 会 损害 作为 登录 应 用 程序 方式 的 令 牌 系统 。 

。 该 方案 只 能 用 于 登录 除 智能 手机 外 的 设备 ， 而 如 今 的 用 户 在 可 能 的 情况 下 都 想 使 用 智能 
手机 而 不 是 其 他 电脑 设备 。 

。 用 于 用 户 登 录 的 计算 机 需要 有 接收 令 牌 所 需 的 设备 。 
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2.4 ”聚焦 用 户 期 望 


在 本 章 的 这 一 市 之 前 ， 你 一 直 聚 焦 于 用 户 需求 。 没 有 用 户 想 要 认证 ， 但 每 个 用 户 都 需要 认 
证 。 用 户 期 望 在 开发 中 被 归 为 “如 果 有 ， 会 更 好 ”的 类 别 ， 但 实现 它们 会 提升 应 用 程序 的 
友好 度 ， 这 会 让 用 户 略 微 愿 意 使 用 你 添加 到 应 用 程序 中 的 必需 项 目 。 


当然 ， 有 些 用 户 会 有 不 切实 际 的 期 望 ， 比 如 期 望 有 一 个 令 他 们 在 别人 面前 特别 有 魅力 的 应 
用 程序 ， 或 者 一 个 能 帮 他 们 完成 所 有 工作 的 应 用 程序 ， 这 样 他 们 就 能 整 天 玩 纸牌 和 看 电 
影 。 遗 憾 的 是 ， 就 算是 世界 上 最 优秀 的 开发 人 员 也 满足 不 了 这 样 的 期 望 。 以 下 描述 了 一 些 
合理 的 用 户 期 望 。 


2.4.1 让 应 用 程序 易于 使 用 


本 章 已 经 强调 了 易于 使 用 的 重要 性 。 用 户 不 想 了 解 你 所 实现 的 安全 方案 的 细节 。 事 实 上 ， 
用 户 根本 不 想 了 解 关于 应 用 程序 的 任何 东西 ， 除 了 它 能 提供 用 于 完成 与 用 户 有 关 的 任务 所 
需 的 数据 。 从 长 远 来 看 ， 你 所 做 的 任何 让 安全 措施 对 最 终 用 户 不 可 见 的 行为 ， 都 会 增 大 用 
户 真正 参与 数据 的 安全 管理 的 可 能 性 ， 并 且 该 策略 会 成 功 保证 数据 的 安全 。 


与 易于 使 用 这 一 需求 相对 的 是 ， 创 建 一 个 如 宣传 所 说 的 安全 场景 。 只 要 有 一 处 数据 漏洞 
就 能 毁 了 公司 的 声誉 并 花费 公司 大 量 的 费用 。 根 据 《计算 机 世界 》 杂 志 最 近 的 一 篇 文章 
(http:Wwww.computerworld.comyarticle/2926775/security0/data-breach-costs-now-average-154- 
per-record.html) ， 当 今 的 数据 泄露 平均 每 秒 会 造成 154.00 美元 的 损失 。 每 条 记录 丢失 造成 
的 损失 在 持续 增加 ， 所 以 对 安全 解决 方案 的 需求 也 在 持续 增加 。 用 户 的 期 望 是 易 用 ， 而 应 
用 程序 的 现实 是 需要 在 任何 情况 下 保证 数据 的 安全 。 


2.4.2 ”让 应 用 程序 快速 运行 

许多 开发 人 员 不 理解 用 户 不 惜 任何 代价 追求 速度 的 需求 。 当 然 ， 部 分 问题 在 于 过 去 几 年 
保持 用 户 注 意 力 的 时 间 在 下 降 。 根 据 《 卫 报 》 网 站 (http:/www.theguardian.com/media- 
network/media-network-blog/2012/mar/19/attention-span-internet-consumer) 的 一 篇 文章 ， 你 
有 一 到 五 秒 的 时 间 去 获取 用 户 的 注意 力 。 用 户 想 要 实时 的 响应 和 快速 的 修复 。 深 入 思考 和 
深度 分 析 已 不 再 是 用 户 字 典 里 的 一 部 分 。 不 幸 的 是 ， 你 给 应 用 程序 汪 、 加 的 安全 措施 越 多 ， 
通常 它 就 会 越 慢 。 如 果 你 问 大 多 数 用 户 在 安全 性 方面 想 花 多 少时 间 ， 他 们 的 答案 会 是 0。 
用 户 真 的 不 关心 安全 性 ， 他 们 只 想 更 快 地 获取 数据 。 

用 户 的 期 望 是 在 获取 执行 某 个 任务 所 需 的 数据 时 不 要 有 任何 等 待 。 并 且 ， 数 据 需 要 从 一 开 
始 就 是 准确 的 且 以 用 户 需要 的 形式 组 织 。 否 则 ， 用 户 就 会 感到 挫败 。 事 实 是 安全 措施 会 使 
得 应 用 程序 变 慢 ， 但 你 作为 开发 人 员 ， 需 要 专 广 于 将 延迟 保持 在 最 低 的 水 平 。 

此 外 ， 一 个 安全 的 环境 意味 着 不 是 所 有 数据 都 能 一 直 被 访问 。 你 肯定 不 能 允许 一 个 用 户 坐 
在 当地 的 星巴克 里 喝 拿 铁 时 查看 病人 的 记录 。 用 户 的 这 种 级 别 的 访问 是 一 种 不 合理 的 期 望 
(并 不 是 说 要 阻止 用 户 提出 这 种 要 求 )。 所 以 ， 一 个 快速 的 应 用 程序 应 该 能 快速 认证 用 户 并 
提供 合法 的 数据 访问 方式 。 隐 藏 非法 选项 常常 能 从 一 开始 就 防止 用 户 发 现 它 们 ， 但 你 仍然 
需要 提供 一 些 帮 助 说 明 来 解释 为 什么 没有 某 些 数据 操作 项 。 



































































































































2.4.3 创建 可 靠 的 环境 


在 考虑 任何 其 他 事项 之 前 ， 你 必须 使 应 用 程序 可 靠 。 应 用 程序 不 能 以 不 可 预测 的 方式 运 
行 ， 因 为 用 户 会 遭受 失败 并 不 再 使 用 它 。 就 算 应 用 程序 有 一 点 慢 ， 但 与 那些 运行 很 快 但 不 
能 正确 执行 任务 的 应 用 程序 相 比 ， 用 户 对 速度 的 抱怨 会 更 少 。 安 全 性 与 数据 操作 功能 完 
工作 也 是 很 关键 的 。 第 5 章 探讨 了 各 种 你 能 用 来 创建 可 靠 应 用 程序 的 技术 。 本 书 的 第 三 部 
分 讨论 的 是 各 种 类 型 的 测试 。 你 需要 仔细 进行 测试 以 创建 可 靠 的 应 用 程序 ， 这 能 减少 用 户 
的 抱怨 。 

因此 ， 用 户 期 望 是 应 用 程序 在 任何 情况 下 都 能 完美 工作 。 再 次 强调 ， 这 需要 让 应 用 程序 透 
明 ， 让 用 户 只 需 集中 精力 完成 任务 。 在 现实 世界 中 ， 通 过 适当 的 编码 技巧 、 测 试 技术 、 威 
胁 分 析 以 及 对 设备 更 新 等 问题 的 持续 检查 ， 你 可 以 尽量 接近 完美 。 所 以 ， 在 这 一 特定 情况 
下 ， 用 户 的 期 望 能 相当 接近 你 在 现实 中 能 提供 的 东西 。 


2.4.4 ”客观 看 待 安全 性 

如 果 你 没有 从 本 章 中 学 到 任何 东西 ， 那 么 重要 的 是 要 记 住 一 个 事实 安全 是 一 个 寻找 平 
衡 的 行为 。 除 非 你 能 客观 地 看 待 安全 性 ， 否 则 你 的 应 用 程序 可 能 不 足以 保护 数据 ， 或 通过 
采用 严厉 但 并 没有 用 的 措施 来 妨碍 用 户 完 成 操作 。 用 户 不 仅 会 很 快 发 觉 他 们 不 喜欢 的 功 
能 ， 还 会 发 现 不 能 达成 任何 有 用 目标 的 功能 。 

虽然 用 户 的 期 望 有 可 能 是 应 用 程序 不 需要 有 安全 性 ， 但 大 部 分 用 户 都 能 认识 到 安全 是 必需 
的 ， 特 别 是 如 果 用 户 想 要 让 公司 健康 地 运作 。 真 正 的 问题 不 是 让 用 户 接受 安全 性 需求 ， 而 
是 让 他 们 接受 特定 级 别 的 安全 性 。 当 客观 地 看 待 安全 性 时 ， 你 会 很 容易 与 用 户 达 成 协议 并 
让 他 们 站 在 你 这 边 。 
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获取 第 三 方 帮助 





重新 造 轮子 通常 是 错误 的 做 法 。 很 有 可 能 其 他 人 已 经 创建 了 一 个 能 很 好 地 满足 你 的 需求 的 
安全 解决 方案 ， 所 以 你 能 直接 使 用 它 而 不 需要 创建 自己 的 解决 方案 。 第 三 方 解 决 方案 需要 
作为 你 的 安全 计划 的 一 部 分 ， 这 样 别 人 才 会 知道 你 头脑 中 已 有 一 个 方案 。 此 外 ， 通 过 在 安 
全 计划 中 使 用 第 三 方 解 决 方案 ， 你 可 以 包含 各 种 相关 信息 并 发 起 关于 该 方案 的 讨论 。 本 章 
将 探讨 你 该 如 何 将 各 种 第 三 方 解 决 方案 添加 到 自己 的 安全 计划 中 。 


然 ， 在 做 任何 事 之 前 ， 你 必须 找到 你 想 使 用 的 第 三 方 解 决 方案 。 幸 和 运 的 是 ， 很 多 技巧 可 
用 于 帮 你 减少 这 一 过 程 所 需 的 时 间 ， 让 你 研究 真正 能 满足 你 的 需求 的 解决 方案 。 一 旦 找到 
你 想 使 用 的 解决 方案 ， 考 虑 每 一 种 方案 类 型 的 优点 和 缺点 是 很 重要 的 。 本 章 将 第 三 方 解 决 
方案 分 为 存在 云端 的 方案 和 添加 进 应 用 程序 的 方案 ， 比 如 库 或 API。 接 下 来 的 几 市 会 让 你 
明白 ,第 三 方 解 决 方案 确实 能 满足 你 的 需求 ， 并 色 减少 创建 一 个 有 效 方案 所 需 的 时 间 与 工 
作 量 。 





对 此 











本 章 会 讨论 具体 的 例子 ， 但 所 提供 的 信息 适用 于 整个 类 别 。 例 如 ， 虽 然 
Capterra 在 文中 作为 一 个 潜在 的 产品 点 评 网 站 出 现 ， 但 还 存在 其 他 类 似 的 网 
站 ， 你 需要 选择 最 适合 你 的 应 用 设计 及 开发 理念 的 网 站 。 具 体 的 例子 只 是 用 
于 帮助 说 明 相关 的 原则 。 




















多 Ce my 让 
3.1 发 现 第 三 方 安 全 解决 方案 
找 出 一 个 第 三 方 安全 解决 方案 是 很 困难 的 。 将 能 想到 的 大 部 分 相关 搜索 词 条 输入 搜索 引 
擎 ， 你 能 得 到 一 份 安全 方案 列表 ， 其 中 的 许多 方案 可 能 甚至 与 你 的 问题 无 关 。 搜 索引 擎 给 
了 你 一 个 干草 堆 ， 而 不 是 一 根 细 针 。 不 幸 的 是 ， 磁 铁 还 被 拿 走 了 ， 所 以 从 中 找到 细 针 是 不 
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可 能 的 。 你 确实 需要 一 种 更 好 的 方式 以 找到 你 想 要 的 安全 解决 方案 。 

Capterra (http://www.capterra.com/network-security-software/) 这 样 的 点 评 网 站 会 对 你 有 所 
帮助 ， 如 图 3-1 所 示 。 该 网 站 提供 了 过 滤 功 能 ， 可 以 帮 你 搞 清楚 正在 吸引 你 注意 力 的 那些 
产品 。 每 一 个 条 目 都 有 一 段 简短 的 点 评 ， 你 可 以 点 击 进去 找到 更 多 的 细节 。 在 很 多 情况 
下 ， 点 评 还 会 包含 提供 产品 演示 或 其 他 有 用 信息 的 媒体 资源 。 点 评 集中 于 一 个 地 方 ， 可 用 
你 指定 的 条 件 过 滤 出 来 ， 以 基本 上 相同 的 方式 格式 化 ， 这 使 得 搜索 过 程 变 得 更 简单 。 
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3-1: Capterra 这 样 的 搜索 网 站 让 查找 第 三 方 资源 变 得 更 简单 








验证 你 在 Capterra 及 相似 的 点 评 网 站 上 找到 的 信息 是 必要 的 。 通 过 用 网 络 搜 
索 你 感 兴趣 的 产品 以 确定 是 否 已 有 其 他 人 点 评 过 该 产品 ， 你 能 进行 一 定 程度 
的 验证 。 这 些 额 外 的 点 评 所 提供 的 见解 有 助 于 你 作出 更 好 的 产品 选择 。 








依靠 杂志 的 点 评 也 会 有 所 帮助 ， 这 取决 于 你 所 选择 的 杂志 。 例 如 ，SC Magazine (http:/ 
www.scmagazine.com/) 经 常 点 评 对 安全 专家 有 帮助 的 产品 。 事 实 上 ， 你 可 以 将 其 中 的 一 些 
点 评 发 送 到 你 的 邮箱 (http:/www.scmagazine.com/events/section/109/)。 该 杂志 甚至 会 赞助 
某 种 形式 的 竞赛 (http://www.scmagazine.com/2014-sc-awards-us-finalists/section/3694/)， 以 
便 你 可 以 确定 最 可 行 的 解决 方案 。 








任何 一 种 点 评 网 站 都 会 包含 偏见 。 即 使 网 站 能 公平 地 点 评 产品 ， 采 用 你 能 检 
验 的 标准 和 你 能 验证 的 过 程 ， 一 份 点 评 仍然 是 某 个 人 的 观点 ， 而 你 需要 考虑 
作出 点 评 的 人 是 否 擎 握 了 足够 的 信息 来 为 你 提供 你 所 需要 的 信息 。 经 过 一 段 
时 间 之 后 ， 你 会 发 现 哪 些 网 站 在 关于 什么 是 真正 的 好 产品 上 与 你 的 观点 一 致 。 























在 某 些 情况 下 ， 你 能 找到 这 样 的 组 织 ， 它 们 提供 组 织 成 员 的 快照 ， 这 些 成 员 能 为 你 提供 一 
致 的 信息 。 例 如 ，Cloud Security Alliance (CSA ，https:Wcloudsecurityalliance.org/membership/ 
solution-providers/) 就 属于 这 一 类 组 织 。 通 过 查看 这 些 网 站 ， 你 能 快速 概略 地 了 解 参 与 到 基 
个 安全 解决 方案 中 的 公司 。 当 然 ， 问 题 是 你 所 读 到 的 评论 是 由 这 些 组 织 提供 的 ， 所 以 这 些 
信息 也 是 带 有 偏见 的 。 可 以 肯定 的 是 ， 支 持 这 种 组 织 的 供应 商 已 经 排除 了 它们 各 种 产品 的 
负面 评论 。 你 需要 谨慎 地 阅读 这 些 信息 并 自己 找 出 蕉 在 的 问题 。 


这 种 组 织 网 站 的 好 处 在 于 你 经 常 能 发 现 其 他 有 用 的 信息 ， 因 为 让 你 参与 其 中 
是 网 站 最 大 的 利益 所 在 。 有 些 组 织 的 网 站 还 会 告诉 你 将 要 发 生 的 事件 ， 你 能 
从 中 获取 关于 潜在 解决 方案 的 额外 信息 ， 亲 自 与 供应 商 见面 ， 并 发 现 你 之 前 
可 能 不 知道 的 新 技术 。 


























有 些 在 线 杂 志 网 站 会 推出 一 些 特色 文章 ， 提 供 非 常 有 用 的 信息 。 例 如 ,《 麻 省 理工 科技 评 
论 》 的 文章 “Improving the Security of Cloud Computing” (http:/www.technologyreview.com/ 
news/424298/improving-the-security-of-cloud-computing/) 就 讨论 了 可 用 来 保持 数据 安全 的 技 
术 。 这 篇 文章 提出 的 两 个 解决 方案 指向 的 是 你 可 能 没有 考虑 过 的 问题 。 在 第 一 个 方案 中 ， 
你 会 读 到 来 自 加 州 大 学 圣地 亚 哥 分 校 和 麻 省 理工 学 院 的 计算 机 科学 家 是 如 何 演示 每 个 公司 
都 需要 有 自己 的 虚拟 服务 器 的 (因此 ，Amazon 改变 了 其 做 事 的 方式 )。 在 第 二 个 方案 中 ， 
一 种 新 技术 能 将 你 的 数据 分 成 16 份 。 当 发 生 某 类 故障 时 ， 你 可 以 用 其 中 幸存 的 任意 10 份 
来 恢复 所 有 的 数据 。 记 住 这 些 文章 通常 有 一 个 目的 是 很 重要 的 ， 所 以 你 需要 在 确定 文章 中 
提 及 的 产品 是 否 满足 你 公司 的 需求 时 ， 将 这 一 目的 牢记 在 心中 。 


3.2 ”考虑 云 安 全 方案 


如 今 的 公司 会 在 云端 存储 大 量 的 数据 以 控制 成 本 ， 并 能 从 任何 需要 的 地 点 访问 数据 。 云 计 
算 ， 包括 云 数据 存储 ， 已 被 普遍 接受 ， 因 为 使 用 它 来 替代 定制 解决 方案 是 有 意义 的 。 

云 计算 的 问题 在 于 它 将 你 的 公司 暴露 在 各 种 问题 面前 。 例 如 ， 你 无 从 知道 提供 云 服务 的 公 
司 能 否 保证 你 的 数据 安全 。 媒 体 报道 过 太 多 关于 公司 数据 被 修改 而 导致 灾难 性 后 果 的 故 
事 。 事 实 上 ， 你 很 容易 就 能 找到 关于 轻松 破解 云 存 储 的 故事 ， 比 如 7ech Times 杂志 上 的 一 篇 
文 章 “Cloud hacking ism*t as hard as most would think” (http://www.techtimes.com/articles/14800/ 
20140903/cloud-hacking-isnt-hard-think.htm)。( 一 种 可 能 解决 部 分 云 数据 存储 问题 的 方式 是 ,在 
发 送 数据 前 用 强加 密 技术 对 数据 进行 加 密 。 当 然 ， 由 于 需要 连续 对 数据 进行 加 密 和 解密 ， 这 
必然 会 影响 应 用 程序 的 速度 。) 

下 面 几 小 布 提供 了 用 第 三 方 解 决 方案 去 保证 在 线 数据 安全 的 一 些 做 法 。 这 几 个 小 布 考虑 三 
个 场景 : 数据 仓库 、 文 件 共 享 和 云 存 储 。 你 可 能 必须 组 合 使 用 几 个 方案 来 为 公司 创造 一 个 
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完整 的 计划 。 但 是 ， 这 些 方 案 会 给 你 一 个 很 好 的 起 点 ， 并 将 最 终 为 你 节省 时 间 与 工作 量 。 
最 好 的 是 ， 因 为 有 其 他 人 在 维护 这 些 方 案 ， 所 以 你 能 在 长 期 运行 中 市 省 金钱 ， 不 需要 持续 
修复 自己 定制 的 解决 方案 。 


有 一 条 要 记 住 的 经 验 法 则 是 ， 保 守 秘 密 的 最 佳 方 式 是 不 要 告诉 任何 人 。 如 果 你 
有 存储 秘密 数据 的 需求 ， 在 线 保存 可 能 是 最 粳 糕 的 解决 方案 。 无 论 你 将 数据 保 
护 得 多 好 ， 如 果 有 些 人 确定 要 窃取 它 ， 他 们 就 能 办 到 。 破 坏 安全 通常 比 构建 安 
全 要 容易 。 所 以 ， 如 果 你 有 必须 依法 确保 其 在 任何 场景 下 都 安全 的 数据 ， 采 用 
处 于 你 控制 之 下 的 本 地 存储 是 最 佳 做 法 。 文 章 “Are my files really safe if I store 
them in the cloud?” (http:/computer.howstuffworks.com/cloud-computing/files-safe- 
in-the-cloud.htm) 会 告诉 你 墨客 能 用 多 少 种 不 同 的 方式 来 窃取 你 的 数据 ， 而 且 
可 以 肯定 的 是 黑客 将 想 出 更 多 的 方式 。 












































3.2.1 理解 数据 仓库 


数据 仓库 可 以 是 很 多 东西 。 如 果 试 着 在 网 上 为 其 找到 一 个 一 致 的 定义 ， 你 最 终 会 在 每 个 网 
站 上 都 找到 一 个 新 的 意思 。 问 题 在 于 ， 数 据 仓 库 这 一 术语 对 于 每 一 个 使 用 它 的 人 来 说 都 略 
有 不 同 。 尽 管 如 此 ， 大 部 分 人 会 同意 数据 仓库 是 一 个 集中 式 的 数据 存储 位 置 ， 用 来 保存 作 
为 公司 知识 库 的 一 部 分 的 信息 。 采 用 数据 挖掘 技术 ， 公 司 能 探查 这 个 知识 库 并 能 真正 从 中 
创造 新 的 知识 。 当 然 ， 数 据 仓库 还 有 很 多 其 他 的 含义 ， 但 最 重要 的 一 点 是 你 在 大 部 分 情况 
下 是 在 谈论 大 量 的 数据 ， 其 中 一 些 数据 仍 在 进行 维护 ， 还 有 一 些 数据 由 于 历史 原因 而 存储 
起 来 。 保 持 这 类 数据 的 安全 是 一 项 大 工程 。 

数据 仓库 比比 缘 是 。 你 能 在 开放 访问 目录 (Open Access Directory，OAD ，http:/oad.simmons. 
edu/oadwiki/Data_repositories) 这 样 的 网 站 上 找到 一 大 批 开放 的 数据 仓库 ， 如 图 3-2 所 示 。 你 
可 能 在 你 的 应 用 中 使 用 过 其 中 一 些 仓库 。 所 以 ， 安 全 不 只 是 保持 你 的 私有 仓库 安全 的 问题 ， 
还 要 确保 你 所 使 用 的 任何 公开 数据 仓库 也 是 安全 的 。 毕 竟 ， 黑 客 并 不 在 意 用 什么 方式 人 侵 你 
的 应 用 程序 (进而 入 侵 你 的 公司 )， 重 要 的 是 能 够 成 功 入 侵 。 


很 少 有 数据 仓库 只 包含 一 个 项 目的 数据 或 只 影响 一 个 项 目 。 事 实 上 ， 创 建 一 个 这 样 的 仓 
库 毫 无 意义 。 大 部 分 数据 仓库 包含 来 自 大 量 项 目的 数据 。 例 如 ，sourceforge.net (https:// 
sourceforge.net/) 包含 了 90 000 多 个 项 目 ， 包 含 了 你 能 想到 的 各 种 编程 项 目 ， 还 包含 一 些 
核心 软件 。 传 统 的 保持 数据 仓库 安全 的 方法 ， 比 如 依靠 管理 员 给 服务 器 打 补丁 或 管理 对 其 
的 访问 ， 在 这 种 情况 下 都 不 能 奏效 ， 因 为 维护 的 项 目 太 容易 遭受 损害 了 。 

由 安全 计算 机 系统 小 组 提出 的 、 被 称 为 安全 不 可 信 数 据 仓库 (Secure Untrusted Data Repository， 
SUNDR, https:/www.yumpu.com/en/document/view/34269846/secure-untrusted-data-repository- 
sundr-usenix) 的 一 种 新 协议 类 型 从 客户 端的 角度 着 手 解决 这 一 问题 。 客 户 端 可 检测 到 文件 
的 修改 。 即 使 服务 器 是 不 可 信 的 或 者 会 以 某 种 方式 受到 损害 ， 客 户 端 仍然 能 检测 到 潜在 的 
安全 漏洞 。 这 一 系统 工作 的 方式 依赖 在 某 个 块 服务 器 (block server) 和 某 个 一 致 性 服务 器 
(consistency server) 上 维护 的 日 志 ， 其 采用 的 方法 将 难以 〈 但 绝 不 是 不 可 能 ) 被 攻破 。 你 可 以 
在 网 页 http://slideplayer.com/slide/3389212/ 上 看 到 该 技术 的 一 个 幻灯 片 演 示 。 
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图 3-2: 开放 的 存 取 仓库 为 某 些 公司 提供 了 很 关键 的 信息 


重要 的 是 要 记 住 , 这些 新 技术 将 与 现 有 技术 携手 合作 ， 如 数据 库 管理 器 提供 的 安全 性 。 它 
们 并 不 会 免除 你 作为 开发 者 将 安全 纳入 方案 的 职责 。 但 是 ，SUNDR 这 样 的 技术 提供 的 是 
另 一 种 级 别 的 防御 一 一 一 种 属于 服务 器 级 别 的 防御 ， 并 且 不 依赖 服务 器 或 管理 员 维护 。 


3.2.2 ”处 理 文 件 共享 问题 


文件 共享 过 去 一 直 意 味 着 在 使 用 时 要 创建 用 户 讨厌 使 用 的 繁琐 配置 。 为 了 创建 一 个 文件 共 
享 场景 ， 公 司 需要 搭建 一 个 专门 的 文件 服务 器 和 一 个 访问 它 的 VPN。 过 去 ， 对 于 开发 人 员 
来 说 ， 这 意味 着 不 得 不 写 大 量 的 代码 来 解决 与 在 这 样 的 环境 下 访问 数据 相关 的 问题 ， 同 时 
还 要 写 大 量 错误 捕获 代码 以 降低 设置 无 法 正常 工作 时 用 户 的 挫败 感 。 将 数据 从 私有 网 络 迁 
移 到 云端 看 起 来 是 一 个 显而易见 的 解决 方法 。 云 安全 方案 由 财力 雄厚 的 第 三 方 维护 。 通 过 
将 数据 从 私有 服务 喜 渤 到 云 注 1 公司 能 市 省 65% 或 更 多 的 成 本 。 开 发 人 员 会 获得 考虑 周详 且 



































注 1: “Moving your Infrastructure to the Cloud: How to Maximize Benefits and Avoid Pitfalls” (https://support.rackspace. 





com/white-paper/moving-your-infrastructure-to-the-cloud-how-to-maximize-benefits-and-avoid-pitfalls/) 、“Cost 
Savings, Efficiencies Lead IT Pros to Cloud Computing” (http://searchcloudcomputing.techtarget.com/feature/ 
Cost-savings-efficiencies-lead-IT-pros-to-cloud-computing) 和 “To find cloud cost savings, all you need is a little 


patience” (http://searchcloudcomputing,.techtarget.com/feature/To-find-cloud-cost-savings-all-you-need-is-a-little- 


patience) 这 三 篇 文章 更 详细 地 分 析 了 整个 节省 情况 。 
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有 文档 的 API[， 这 能 让 访问 数据 更 加 简单 。 用 户 也 会 受益 ， 因 为 在 使 用 可 公开 访问 的 文件 共 
享 方案 时 过 到 的 挫折 会 少 得 多 ， 并 且 这 样 的 解决 方案 通常 能 支持 用 户 拥有 的 每 一 种 设备 。 


关键 是 要 认识 到 任何 公开 的 文件 共享 服务 都 将 制造 潜在 的 安全 漏洞。 无 论 服 
务 器 建 的 墙 有 多 高 ， 黑 客 都 能 在 下 方 挖 个 洞 窃取 你 的 数据 。 使 用 任何 类 型 的 
文件 共享 服务 带 来 的 风险 会 超出 你 在 使 用 VPN 时 预料 到 的 风险 。 虽 然 许多 
公司 都 成 功 使 用 了 文件 共享 服务 ， 但 要 记 住 ，VPN 通常 会 更 安全 ， 且 你 可 能 
必须 为 某 些 存 储 需求 选择 一 个 VPN 解决 方案 ， 虽 然 这 会 带 来 非常 高 的 成 本 。 





当今 天 大 部 分 人 都 在 考虑 云端 的 文件 共享 时 ， 你 可 以 考虑 Dropbox (https://www.dropbox.com/ 
business) 这 样 的 产品 。Dropbox 有 一 个 API (https:/www.dropbox.com/developers)， 用 户 可 
用 来 为 自己 的 应 用 程序 创建 接口 。 该 API 提供 了 完整 的 功能 ， 并 且 你 能 用 它 满足 各 种 需求 ， 
如 图 3-3 所 示 。 当 然 ，Dropbox 最 近 也 占据 过 安全 问题 的 新 闻 头 条 ”，PCWorld 上 的 一 篇 文章 
(http://www.pcworld.com/article/2918524/software-productivity/how-to-make-dropbox-more-secure- 
without-spending-a-cent.html) 详细 论述 了 解决 这 些 问题 的 方案 。 











Nh a 5 (€)@ Dropbox inc(ys) | https://wwwdropbox.com/developers 7C| 时 四 几 闪 B+ 下 9| 三 








Signin v 


Developer home 


Build the power of Dropbox into your app 


The Dropbox Platform gives you effortless access to hundreds of millions of Dropboxes 
App Console 


Drop-ins 


Core API 





Dropbox for Business API 
Webhooks 

Developer guide 

OAuth guide 


Branding guide 


Blog 


Support 
Drop-ins Dropbox API 


Drop-ins are cross-platform UI components that can be The Core APl is a powerful way to read and write files in 
integrated in minutes. The Chooser provides your app with Dropbox. Manage your Dropbox for Business account with 
instant access to files in Dropbox, and the Saver makes our new Dropbox for Business API. 

saving files to Dropbox one-click simple. 














图 3-3: 使 用 Dropbox API 可 以 轻松 地 将 在 线 文件 共享 功能 添加 进 你 的 应 用 





注 2: 例如 ,请 参阅 “Dropbox drops the security notification ball, again” (http:/www.zdnet.com/article/dropbox- 
drops-the-security-notification-ball-again/) 和 “Wary of Privacy Issues? Ditch Dropbox and Avoid Google, 
Says Edward Snowden” (http://www.newsweek.com/wary-privacy-issues-ditch-dropbox-and-avoid-google- 
says-edward-snowden-276956)。 














当 为 中 小 企业 (small- to medium-sized business，SMB ) 创建 文件 共享 方案 时 ， 你 确实 有 
很 多 可 以 尝试 的 解决 方案 。 但 是 它们 都 有 安全 问题 ， 所 以 你 需要 研究 每 一 个 问题 以 确定 哪 





些 安全 问题 是 要 优先 解决 的 。 虽 然 Dropbox 这 样 的 方案 上 了 很 多 安全 问题 的 头条 ， 但 它 
们 也 有 很 好 地 解决 这 些 安全 问题 的 可 行 方案 。 以 下 是 目前 最 常用 的 文件 共享 方案 的 清单 
(Dropbox 除外 )。 


Acronis Business (http://www.acronis.com/en-us/business/overview/ ) 
Box (https:Wwww.box.comy/) 

Carbonite Business (http://www.carbonite.com/en/cloud-backup/business-solutions/ 
workstation-plans/) 

Citrix ShareFile (https://www.sharefile.com/ ) 

CrashPlan Pro (http://www.code42.com/business/ ) 

Engnyte (https:/www.egnyte.com/) 

Google Drive (http://www.google.com/drive/start/index.htm]l) 
Hightail (https://www.hightail.com/ ， 原 先 称 为 YouSendIt) 
Microsoft OneDrive (https://onedrive.live.com/about/en-us/) 
MozyPro (http://mozy.com/product/mozy/business) 

SpiderOak (https://spideroak.com/) 

SugarSync for Business (https://www.sugarsync.com/business) 
SyncPlicity (https://www.syncplicity.com/) 


选择 一 个 第 三 方 文件 共享 方案 可 能 非常 困难 。 公 司 在 选择 方案 时 会 有 特定 的 目标 ， 比 如 成 
本 /收益 率 。 但 是 作为 开发 人 员 ， 你 有 其 他 的 关注 点 。 这 里 列 出 了 一 些 你 在 使 用 文件 共享 












































服务 时 应 该 考虑 的 事情 。 
。 有 良好 文档 的 API 

为 了 写 文 件 共享 方案 的 自 定义 代码 并 使 某 些 类 型 的 访问 不 可 见 ， 你 需要 有 良好 文档 的 API。 
。 安全 性 

基于 云 的 文件 共享 方案 需要 以 下 这 些 特别 的 安全 特性 来 保证 其 成 功 。 

4 分 级 





nn 
这 些 特性 中 最 重要 的 就 是 云 分 级 ， 你 可 以 定义 文件 如 何 存储 。 有 一 些 文件 只 出 现在 
文件 共享 服务 中 ， 有 一 些 除 了 云 副本 外 还 需要 本 地 副本 ， 还 有 一 些 只 能 出 现在 本 地 
磁盘 上 ， 尽 管 其 能 通过 文件 共享 服务 访问 。 
4 文件 类 型 
有 些 文件 类 型 可 能 有 特定 的 存储 要 求 。 这 些 文件 可 能 包含 敏感 数据 ， 且 你 可 能 需要 
在 本 地 存储 它们 或 者 对 它们 进行 加 密 ， 尽 管 基于 文件 分 级 的 原则 它们 会 以 不 同 的 方 
式 出 现 。 
4 访问 频率 
你 的 应 用 程序 可 能 只 会 以 某 一 特定 频率 访问 文件 。 当 访问 文件 的 频率 不 一 样 时 ， 可 
能 表明 出 现 了 安全 问题 。 文 件 共 享 服务 应 该 就 这 一 潜在 问题 向 你 发 出 警报 。 
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全 局 命名 空间 

某 些 情况 下 ， 文 件 共享 服务 会 提供 数据 孤岛 (data silo) 方式 的 访问 ， 这 样 财务 数据 就 
能 完全 与 人 力 资源 数据 隔 开 。 数 据 孤 岛 确实 能 达到 这 一 目标 ， 但 有 时 候 数据 需要 以 这 样 
的 方式 存储 ， 任何 有 权限 的 人 可 在 任何 地 点 用 任何 设备 访问 数据 。 要 获得 这 种 访问 ， 你 
需要 一 个 全 局 命名 空间 。 

元 余 

为 了 能 安心 写 代码 且 不 需要 应 付 用 户 的 需求 ， 你 需要 有 一 个 具备 充分 宛 余 的 文件 共享 广 
案 。 和 否则 ， 你 不 能 确保 用 户 需要 的 数据 在 任何 时 刻 都 能 访问 。 但 是 ， 作 为 数据 元 余 的 一 
部 分 ， 你 需要 确保 数据 安全 地 存储 在 每 个 采用 单独 的 虚拟 服务 器 的 地 方 〈 某 些 类 型 的 共 
享 文件 攻击 依赖 攻击 者 入 侵 目标 服务 器 ， 而 当 文件 共享 服务 依赖 单独 机 器 上 的 虚拟 服务 
器 时 ， 这 种 攻击 会 变 得 更 加 困难 )。 









































3.2.3 考虑 云 存储 

云 存储 这 一 术语 涉及 大 量 的 需求 。 其 中 有 两 个 在 本 章 中 已 专门 提 到 : 数据 仓库 和 文件 共享 
服务 。 但 是 ， 你 的 公司 可 能 有 其 他 的 云 存储 需求 。 如 有 果 你 能 构建 一 个 使 用 单一 主机 的 应 用 
程序 ， 会 简单 得 多 ,但 这 通常 是 不 可 能 的 。 在 选择 主机 时 ， 你 还 必须 考虑 以 下 这 些 额 外 的 
云 存储 要 求 。 























归档 

数据 归档 不 同 于 其 他 类 型 的 云 存储 ， 你 需要 确保 数据 是 安全 的 ， 而 不 只 是 可 访问 。 如 果 
发 生 重大 事件 ， 你 要 确保 数据 保持 安全 。 公 司 以 前 会 依靠 保存 在 异地 的 磁带 和 其 他 媒介 
保证 数据 的 安全 ， 但 如 今 云 存储 会 解决 这 一 需求 。 你 构建 的 任何 应 用 程序 可 能 都 必须 归 
档 数 据 ， 并 确保 以 安全 的 方式 进行 归档 。 

设置 信息 的 存储 
用 户 会 想 要 用 任何 设备 以 任何 方式 访问 任何 数据 。 用 户 不 知道 应 用 程序 需要 经 过 设置 才 
能 正常 工作 ， 并 且 在 本 地 保存 设置 会 让 创建 任何 地 方 都 能 使 用 的 灵活 应 用 变 得 不 可 能 。 
遗憾 的 是 ， 保 存在 云端 的 设置 也 会 让 黑客 很 容易 猜 到 应 用 程序 的 特性 ， 进 而 可 能 和 人 侵 公 
司 系统 ， 所 以 你 需要 确保 设置 信息 的 存储 都 是 经 过 加 密 的 ， 并 且 是 以 这 样 的 方式 进行 托 
管 的 ， 从 而 让 任何 漏洞 变 得 明显 。 


媒体 存储 

今天 的 用 户 要 求 访问 各 种 各 样 的 媒体 ， 包 括 视频 、 音 频 、 图 像 和 演示 报告 等 。 你 的 应 用 
程序 可 能 需要 将 媒体 作为 其 目标 的 一 部 分 ， 这 意味 着 要 依赖 分 级 这 样 的 特性 来 确保 应 用 
程序 和 云 存储 能 正确 处 理 数据 。 用 户 应 该 只 能 访问 其 所 需要 的 媒体 ， 而 不 是 公司 必须 提 
供 的 所 有 媒体 。 













































































还 有 其 他 本 书 未 讨论 的 云 存储 类 型 。 例 如 ， 大 部 分 开发 人 员 对 电子 邮件 都 没有 太 大 兴趣 ， 
除非 他 们 正在 开发 一 个 电子 邮件 应 用 。 关 键 是 ， 存 储 涉 及 广泛 的 类 型 和 需求 ， 你 需要 将 其 
作为 安全 方案 的 一 部 分 去 考虑 。 








3.3 选择 产品 类 型 


当 读 完 本 书 时 ， 你 会 了 解 如 何 使 用 不 同 的 产品 类 型 来 让 编码 工作 变 得 更 简单 。 重 要 的 是 ， 
要 理解 你 可 以 用 三 种 方式 对 代码 产品 进行 分 类 : 库 、API 和 微服 务 。 每 一 种 代码 资源 都 有 
特定 的 目标 并 帮 你 满足 特定 的 需求 。 在 一 个 应 用 程序 中 混用 和 协调 各 种 产品 类 型 是 有 可 能 
的 ， 但 你 需要 确保 这 些 产 品 在 使 用 时 对 安全 性 不 会 造成 负面 影响 。 接 下 来 的 几 个 小 节 将 探 
讨 不 同 的 产品 类 型 ， 并 帮 你 理解 如 何 将 它们 作为 应 用 程序 策略 的 一 部 分 。 更 重要 的 是 ， 你 
对 每 种 产品 类 型 的 安全 问题 会 有 初步 了 解 。 



































使 用 其 他 人 的 代码 
每 次 使 用 其 他 人 的 代码 ， 就 是 在 给 黑客 可 乘 之 机 ， 他 们 会 找到 方法 来 攻克 那些 代码 所 
提供 的 安全 措施 。 对 黑客 来 说 ， 这 样 做 的 好 处 是 巨大 的 。 通 过 制造 一 个 安全 漏洞 ， 黑 
客 就 有 可 能 入 侵 各 种 使 用 了 已 被 其 攻破 的 库 、API 和 微服 务 的 应 用 程序 。 同 一 个 黑客 
能 在 各 处 进行 破坏 ， 这 意味 着 黑客 能 选择 入 侵 哪些 网 站 及 窃取 什么 数据 。 部 分 黑客 非 
常 成 功 ， 他 们 完全 控制 了 数据 源 ， 并 将 数据 当 作 人 质 一 样 向 数据 拥有 者 勒索 人 金钱。 


使 用 他 人 代码 的 好 处 是 ， 你 可 以 用 比 平时 更 少 的 人 力 在 更 短 时间 内 开发 出 应 用 程序 。 
支持 和 维护 的 成 本 也 低 得 多 。 当 有 人 发 现 库 、API 或 微服 务 有 问题 时 ， 进 行 修复 的 不 是 
你 ， 而 是 代码 的 拥有 者 (假设 拥有 者 会 修复 ; 否则 ， 你 必须 转 而 使 用 其 他 的 库 、API 或 
微服 务 )。 不 需要 做 任何 工作 ， 你 可 以 自动 获得 由 第 三 方 提供 的 修复 所 带 来 的 好 处 。 


第 三 方 也 会 提供 一 些 增强 ， 让 代码 更 快 、 更 有 效率 或 更 安全 。 当 有 新 技术 出 现时 ， 第 
三 方 会 提供 所 需 的 更 新 ， 让 你 的 应 用 程序 以 新 的 方式 工作 。 如 果 用 户 需 要 访问 新 的 设 
备 类 型 ， 第 三 方 会 创建 使 那 种 设备 正常 运行 所 需 的 代码 。 总 之 ， 虽 然 使 用 他 人 代码 的 
理由 有 很 多 ,但 这 样 做 时 必须 谨慎 。 











3.3.1 使 用 库 


库 是 存在 于 单独 的 文件 中 的 代码 ， 但 你 需要 将 它们 加 载 进 自己 的 应 用 程序 中 。 库 会 变 成 你 
的 应 用 程序 的 一 部 分 。 大 部 分 情况 下 ， 你 能 把 库 下 载 到 本 地 服务 器 ， 但 在 其 他 情况 下 则 不 
E。 将 库 下 载 到 本 地 服务 器 的 好 处 是 ， 其 他 人 看 不 到 你 如 何 使 用 它 来 创建 应 用 程序 。 通 过 
EF 加 载 过 程 更 快 和 更 简单 ， 这 一 做 法 还 能 提升 应 用 程序 的 速度 。 此 外 ， 下 载 库 意味 着 库 代 
码 是 稳定 的 ， 这 使 得 有 可 能 创建 出 更 可 靠 的 应 用 程序 。 

从 安全 的 角度 看 ， 似 乎 将 库 下 载 到 本 地 磁盘 是 最 好 的 选择 。 你 能 获得 所 有 使 用 他 人 代码 所 
带 来 的 好 处 ， 并 且 不 需要 将 自己 的 应 用 程序 暴露 给 筑 伺 你 如 何 使 用 库 的 潜在 黑客 。 从 安全 
的 角度 看 ， 缺 点 是 使 用 本 地 副本 也 意味 着 你 不 能 获得 自动 更 新 。 这 意味 着 你 的 应 用 程序 可 
能 会 包含 库 开 发 人 员 已 经 修复 的 bug， 这 会 让 黑客 更 容易 入 侵 你 的 系统 。 
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别人 是 否 能 看 到 你 正在 如 何 使 用 下 载 的 库 取 决 于 库 的 源 代码 语言 。 通 常 在 一 
个 文本 编辑 器 里 就 能 读 取 到 JavaScript。 为 了 让 别人 更 难 监测 到 他 们 在 用 代 
码 做 什么 ， 很 多 人 对 他 们 的 JavaScript 代码 进行 混淆 (让 代码 几乎 不 可 读 )。 
JScrambler (https://jscrambler.com/en/) 和 JavaScript Obfuscator/Encoder (http:// 
www.danstools.com/javascript-obfuscate/) 这 样 的 产品 可 以 让 别人 难以 看 到 代码 
在 做 什么 ， 但 意志 坚定 的 墨客 仍然 可 以 做 到 。 反 编译 许多 在 互联 网 上 使 用 的 许 
多 不 同类 型 的 代码 文件 也 是 可 能 的 。 关 键 是 你 可 以 通过 下 载 库 并 让 其 变 得 不 可 
读 ， 让 这 样 的 事情 变 得 困难 ， 但 你 无 法 杜绝 别人 宕 探 你 的 应 用 程序 如 何 工作 。 






















































































当 使 用 外 部 库 时 ， 你 需要 考虑 原作 者 的 声誉 ， 以 及 你 在 应 用 程序 中 使 用 库 的 方式 。 因 为 库 
直接 与 你 的 应 用 程序 交互 ， 所 以 你 需要 考虑 库 应 该 以 怎样 的 方式 访问 应 用 程序 的 内 部 。 在 
使 用 库 时 ， 防 御 性 地 编码 是 很 重要 的 ， 因 为 你 不 想 告诉 别人 太 多 关于 应 用 程序 如 何 工 作 的 
信息 。 以 下 是 一 些 外 部 库 的 例子 : 

。 D3.js (https://d3js.org/) 

。 Google Web Toolkit (GWT, http://www.gwtproject.org/) 

。 jQuery (http://jquery.com/) 

。 jQuery Mobile (http://jquerymobile.com/) 














。 jQuery UI (http://jqueryui.com/) 

。 MooTools (http://mootools.net/) 

。 PDF.js (http://mozilla.github.io/pdf.js/) 

。 QUnit (http://qunitjs.com/) 

。 SWFObject (https://github.com/swfobject/swfobject) 
。 YUILibrary (http://yuilibrary.com/) 


3.3.2 ”访问 API 


API 是 你 通过 向 一 个 中 心 位 置 发 起 请 求 来 从 自己 的 应 用 程序 访问 的 代码 。API 以 单独 实体 
的 形式 存在 ， 并 且 你 是 从 自己 的 应 用 程序 中 对 它 发 起 请 求 。 重 点 是 ，API 与 你 的 应 用 程序 
的 其 他 代码 完全 隔离 ， 所 以 你 需要 创建 一 个 对 API 的 引用 并 发 起 对 API 的 请 求 。 一 个 API 
通常 关联 某 种 服务 ， 比 如 数据 存储 。 你 可 以 用 API 创建 一 个 客户 端 /服务 器 类 型 的 连接 ， 
同时 也 会 带 来 这 种 连接 所 绚 含 的 所 有 安全 问题 。 


一 些 API 会 加 入 安全 的 访问 ， 以 帮助 确保 黑客 不 能 轻易 利用 某 些 漏洞 来 控制 
API， 或 以 作者 意 想不到 的 方式 使 用 它 。 有 些 API 需要 一 个 名 称 与 密码 的 组 
合 来 访问 服务 ， 这 是 很 好 的 做 法 ， 只 要 信息 是 以 加 密 的 方式 发 送 的 。 但 是 ， 
即使 使 用 了 加 密 ， 数 据 也 不 是 真正 安全 的 。 作 为 一 个 替代 方案 ，API 可 使 用 
密 钥 来 提供 访问 。 不 幸 的 是 ， 当 密 钥 暴 露 时 ，API 的 端点 仍然 会 很 乐意 地 为 
请 求 它 的 人 提供 信息 。 总 之 ，API 会 在 某 个 时 刻 出 现 安全 问题 ， 但 你 可 以 用 
某 些 方法 来 减少 黑客 的 活动 。 在 使 用 API 时 保持 警惕 并 观察 黑客 的 行为 也 是 
很 重要 的 。 
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API 的 一 个 潜在 问题 是 ， 它 们 可 能 会 很 慢 。 你 的 应 用 程序 会 变 得 低 效 并 且 有 延迟 。 这 是 一 
个 很 重要 的 考虑 因素 ， 因 为 用 户 没有 耐心， 并 且 可 能 在 等 待 的 过 程 中 不 经 意 间 地 破坏 你 的 
应 用 程序 。 损 坏 的 应 用 程序 通常 会 表现 出 安全 问题 ， 黑 客 非常 乐于 利用 这 些 问题 。 


当 使 用 API 的 时 候 ， 黑 客 还 可 能 采用 中 间 人 攻击 的 方式 访问 你 的 数据 。 中 间 人 攻击 特别 难 
以 检测 ， 因 为 调用 显然 是 正常 的 ， 且 你 不 会 在 稍 后 收 到 的 数据 中 发 现任 何 异常 。 同 时 ， 黑 
客 会 利用 收集 到 的 数据 来 做 某 些 事情 ， 比 如 检索 客户 的 信用 卡号 码 或 获取 关于 你 的 公司 的 
有 用 信息 。 当 使 用 API 时 ， 你 必须 密切 关注 数据 加 密 等 问题 以 确保 数据 安全 。 以 下 是 API 
的 一 些 示 例 : 


。 AccuWeather (http://www.programmableweb.com/api/accuweather) 



































。 Amazon (https://affiliate-program.amazon.com/gp/advertising/api/detail/main.htm!l) 
。 Box (https://developers.box.com/) 

。 FaceBook (https://developers.facebook.com/) 

。 Flicker (https://www.flickr.com/services/developer/) 

。 Google (https://developers.google.com/products/) 

。 Pinterest (http:/www.programmableweb.com/api/pinterest) 

。 Salesforce (http://www.salesforce.com/us/developer/docs/api/index.htm) 

。 Twitter (https ://dev.twitter.com/overview/documentation) 

。 WordPress (http://codex.wordpress.org/WordPress_APTs) 

。 YouTube (https://developers.google.com/youtube/) 


库 与 API 的 一 个 不 同 点 是 ， 大 部 分 库 可 免费 使 用 ， 但 许多 API 需要 支付 一 定 
费用 才能 使 用 。 在 大 多 数 情况 下 ， 你 可 以 在 足以 满足 测试 目标 的 级 别 访问 革 
个 API， 但 要 想 获取 完整 功能 的 API， 你 必须 获得 一 个 密 钥 ， 这 意味 着 你 需 
要 为 所 需 的 访问 级 别 支 付费 用 。 

除 此 之 外 ， 许 多 API 供应 商 要 求 你 在 沙 盒 模式 中 测试 自己 的 应 用 程序 ， 并 获 
得 调试 后 的 应 用 程序 的 证 书 ， 然 后 才 人 允许 你 的 应 用 程序 使 用 API。 这 些 要 求 
也 增加 了 使 用 API 的 成 本 ， 这 使 得 它们 不 像 库 那 么 流行 。 























3.3.3 ”考虑 微服 务 


微服 务实 际 上 是 构建 于 已 有 技术 上 的 一 种 新 技术 。 微 服务 是 对 Web 服务 、API 和 库 的 混 
用 , 但 是 是 以 小 型 包 的 形式 。 事实 上 ， 微 服务 具有 以 下 这 些 你 需要 考虑 的 特性 : 


。 依赖 一 个 小 型 的 、 单 一 目标 的 、 基 于 服务 的 应 用 程序 来 创建 一 个 具有 完整 功能 的 应 用 程 
序 (每 个 单一 目标 的 应 用 程序 就 是 一 个 微服 务 ) 

。 用 最 合适 的 编程 语言 来 完成 任务 

。 对 于 具体 的 微服 务 ， 用 最 高 效 的 数据 管理 技术 访问 应 用 程序 数据 

。 在 每 个 微服 务 之 间 开 发 轻 量 级 的 通信 

。 依靠 REST 等 协议 来 通信 ， 所 以 管道 是 哑 的 ， 但 微服 务 是 智能 的 

。 采取 分 散 式 应 用 管理 ， 分 别 监 控 每 个 微服 务 
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。 根据 需要 选择 各 种 微服 务 来 搭建 任意 数量 的 成 熟 的 应 用 程序 (桌面 端 、 移 动 浏 览 器 、 原 
生 移动 应 用 ， 其 至 是 API) 


使 用 微服 务 时 ， 你 需要 考虑 的 问题 与 使 用 库 和 API 时 一 样 。 例 如 ， 微 服务 可 能 会 作为 你 的 
应 用 程序 代码 的 一 部 分 ， 所 以 你 需要 考虑 微服 务 如 何 与 应 用 程序 交互 。 此 外 ， 像 使 用 API 
一 样 ， 在 使 用 微服 务 时 会 发 送 和 接收 数据 ， 所 以 中 间 人 攻击 可 能 会 给 你 造成 问题 。 

从 安全 的 角度 看 ， 微 服务 实现 的 安全 性 会 不 同 于 库 或 API。 每 个 微服 务 会 基于 自身 的 需求 
提供 独立 的 安全 性 ， 而 不 是 为 整体 使 用 一 个 网 站 中 所 有 微服 务 的 每 个 人 或 事 提 供 单一 的 解 
决 方案 。 因 此 ， 微 服务 会 提供 更 好 的 安全 性 ， 但 这 个 安全 也 是 不 平衡 且 更 难以 处 理 的 。 下 
面 是 一 些微 服务 的 示例 (每 个 网 站 都 提供 大 量 微服 务 的 访问 ， 你 要 在 具体 的 应 用 程序 中 选 
择 你 想 使 用 哪些 微服 务 )。 


。 Akana (http://www.akana.com/ solutions/microservices) 






































。 Archivematica (https://ww.archivematica.org/en/) 
。 Gilliam (http://gilliam.github.io/) 

。 LSQ.io (https://angel.co/lsq-io) 

。 Seneca (http://senecajs.org/) 





因为 微服 务 非常 新 ， 所 以 你 会 发 现 很 多 关于 微服 务 由 什么 构成 的 讨论 。 某 
些 权威 机 构 认 为 ， 代 码 行 数 (lines of code，LOC) 是 个 问题 。 使 用 200~500 
行 代码 的 服务 属于 微服 务 的 范畴 ， 但 超过 这 一 范围 的 服务 则 不 是 ( 少 于 200 
行 代码 显然 不 能 提供 足够 的 功能 )。 因 此 ，Cloner (https:/www.npmjs.com/ 
package/app-cloner-heroku) 这 样 的 微服 务 就 满足 这 一 要 求 (305 LOC), 但 
Deploy Hooks (https://devcenter.heroku.com/articles/deploy-hooks) 这 样 的 微 
服务 则 不 满足 (1240 LOC ) 。 























第 二 部 分 


运用 成 功 的 编码 实践 





在 这 一 部 分 中 ， 你 将 开始 了 解 编 写 安全 应 用 程序 的 技巧 。 每 一 章 都 会 探讨 典型 Web 应 用 程 
序 的 一 个 部 分 。 第 4 章 从 UI 开始 讲 起 ， 它 可 能 是 最 为 重要 的 部 分 ， 因 为 安全 性 始 于 并 终 
于 与 用 户 的 配合 。 如 果 界 面 有 缺陷 ， 用 户 就 不 会 配合 (至少 不 会 配合 得 太 好 )， 并 且 你 的 
安全 方案 将 会 出 现 漏洞 。 第 5 章 与 第 4 章 紧密 相关 。 一 个 不 受信 任 的 应 用 程序 对 于 与 其 交 
互 的 用 户 来 说 是 令 人 诅 丧 的 ， 且 容易 直接 或 间接 产生 出 更 多 的 安全 问题 。 

现代 的 应 用 程序 不 会 存在 于 真空 中 。 如 果 开 发 人 员 想 要 从 零 开 始 构建 每 一 个 应 用 程序 ， 那 
所 有 人 都 会 遭 融 。 库 (第 6 章 )、API (第 7 章 ) 和 微服 务 (第 8 章 ) 的 使 用 让 构建 应 用 程 
序 的 过 程 更 快 ， 更 简单 。 此 外 ， 由 这 些 第 三 方 提供 的 代码 会 接受 非常 多 的 审查 ， 所 以 它们 
会 比 你 自己 写 的 代码 更 安全 ， 而 且 ， 比 起 公司 为 自己 写 的 代码 ， 第 三 方 提 供 的 代码 通常 能 
更 快 地 更 新 。 






















































































第 4 章 


开 妈 成 功 的 界面 





应 用 程序 依赖 界面 与 用 户 进行 交互 。 当 界面 有 缺陷 时 ， 用 户 对 应 用 的 好 感 会 减少 ， 且 用 户 
的 满意 度 也 会 降低 。 你 能 想到 的 每 一 个 安全 解决 方案 都 依赖 用 户 的 友好 才 得 以 实现 。 是 
的 ， 你 可 以 尝试 用 严厉 的 措施 强迫 用 户 参 与 ， 但 通常 这 些 措施 会 导致 用 户 不 断 寻 找 克 服 安 
全 性 的 方法 ， 而 不 是 与 之 配合 。 大 部 分 情况 下 ， 当 用 户 支持 你 时 ， 你 能 得 到 最 好 的 结果 ， 
这 意味 着 你 要 努力 创造 一 个 用 户 欣 赏 的 界面 (让 应 用 程序 很 易 用 ， 以 至 于 所 谓 的 应 用 程序 
已 经 从 用 户 的 视线 里 消失 了 )。 当 然 ， 你 确实 需要 确保 应 用 程序 有 强制 策略 。 因 此 ， 本 章 
会 从 界面 的 角度 同时 关注 应 用 程序 安全 性 方面 的 “ 胡 葛 下 ”( 用 户 协 作 ) 和 “大 棒 ”( 强 制 
策略 ) 。 

让 这 个 等 式 的 “ 胡 葛 下 ”部 分 很 明显 是 非常 重要 的 。 当 看 到 各 种 吸引 人 的 东西 、 有 用 的 提 
示 和 干净 的 界面 时 ， 用 户 会 觉得 开发 者 真 的 在 乎 这 个 应 用 以 及 用 户 如 何 看 待 这 个 应 用 。 让 
用 户 体验 很 愉悦 是 很 关键 的 。 

这 个 等 式 中 的 “大 棒 ” 部 分 通常 会 隐藏 起 来 或 者 很 微妙 。 例 如 ， 应 用 程序 不 会 让 用 户 输入 
一 个 州 的 名 称 ， 而 是 通过 创建 一 个 州 的 列表 并 让 用 户 从 中 选择 ， 防 止 未 经 认证 的 输入 。 虽 
然 选择 受到 约束 ， 但 用 户 看 到 的 却 是 易于 使 用 的 功能 。 

有 些 界 面 决定 甚至 在 编码 之 前 就 是 错误 的 。 例 如 ， 有 些 校 验 技术 会 告诉 用 户 输入 不 合法 但 
\ 告 诉 用 户 原因 。 更 重要 的 是 ， 当 反馈 缺少 有 用 的 提示 和 示例 ， 用 户 会 变 得 很 诅 形 。 本 章 
还 讨论 了 可 用 来 改善 界面 的 技巧 。 有 些 技巧 能 奏效 ， 有 些 则 不 能 ， 但 这 不 是 什么 问题 ， 重 
要 的 是 ， 有 些 技巧 能 减少 用 户 的 焦虑 。 
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很 少 有 人 会 再 手写 一 个 网 站 的 代码 了 ， 明 白 这 一 点 是 很 重要 的 。 不 用 库 、 
API、 框 架 、 微 服务 和 任何 其 他 第 三 方 资源 来 开发 一 个 网 站 的 人 更 少 。 但 是 ， 
所 有 这 些 第 三 方 的 源 依 赖 本 章 所 描述 的 技术 。 你 从 第 三 方 获得 的 所 有 资源 是 
预先 打包 好 的 代码 ， 或 许 你 曾 自己 创建 过 这 些 代码 。 按 照 本 章 的 方式 查看 代 
码 能 帮助 你 理解 第 三 方 源 所 使 用 的 底层 技术 ， 这 样 你 能 更 好 地 辨别 这 些 源 是 
否 为 安全 的 。 从 这 个 意义 上 来 说 ， 本 章 的 代码 是 设计 用 来 帮助 你 理解 安全 性 
原则 的 ， 而 不 是 你 要 用 到 自己 的 网 站 中 的 东西 。 


4.1 评估 UI 


大 多 数 公司 需 要 花费 时 间 来 评估 应 用 程序 的 UI， 因为 这 些 界 面 为 黑客 提供 了 明确 的 机 会 以 入 
侵 网 络 。1.1 而 描述 了 黑客 通常 会 利用 的 一 些 漏洞 。 大 量 的 漏洞 是 依靠 一 些 UI 元素 产生 威胁 
的 。 在 不 影响 用 户 交 互 的 前 提 下 ， 界 面 越 简洁 越 好 。 接 下 来 描述 了 一 些 可 用 来 评估 UI 的 技巧 。 


研究 本 章 所 描述 示例 的 最 好 方式 是 使 用 可 下 载 的 代码 ， 而 不 是 手动 键入 这 


些 代码 。 使 用 下 载 的 代码 可 减少 六 在 的 错误 。 你 可 以 在 下 载 代码 的 \S4WD\ 
Chapter04 目录 下 找到 本 章 的 例子 



































4.1.1 创建 简洁 的 界面 


如 今 ， 创 建 可 行 界面 的 一 个 关键 是 让 它们 简洁 。 老 式 的 复杂 界面 会 制造 安全 问题 ， 因 为 用 
户 不 确定 要 做 什么 或 有 太 多 东西 要 做 。 现 在 利用 一 些 库 可 以 创建 简洁 界面 ， 这 种 界面 在 许 
多 情况 下 在 一 个 时 间 点 只 关注 一 个 问题 。 例 如 ， 图 4-1 所 示 的 选项 卡 文档 界面 就 是 简洁 界 
面 的 一 个 例子 ， 其 在 一 个 时 间 点 只 处 理 Tabs.html 文件 中 的 一 部 分 事情 。 
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4-1: 一 个 简洁 的 界面 以 用 户 能 理解 的 方式 聚焦 于 一 个 问题 
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这 个 界面 非常 简洁 。 它 问 了 一 个 简单 的 问题 ， 提 供 了 有 限 数量 的 响应 ， 并 让 用 户 更 加 难以 
输入 坏 的 数据 。 用 户 选 择 一 种 颜色 ， 点 击 按钮 ， 然 后 移 至 下 一 个 选项 卡 的 内 容 。 现 在 很 多 
Web 应 用 程序 采用 了 这 种 类 型 的 界面 。 它 经 常用 于 注册 表单 。 这 个 例子 使 用 了 jQuery UI 





























库 (https://jqueryui.com/) 来 执行 任务 。 下 面 是 这 个 例子 的 源 代码 : 


<!DOCTYPE htmL> 


<html> 
<head> 
<script 
src="https://code.jquery.com/jquery-latest.js"> 
</script> 
<script 
src="https://code.jquery.com/ui/1.9.2/jquery-ui.js"> 
</script> 
<Link 
rel="stylesheet" 
href="https://code.jquery.com/ui/1.9.2/themes/base/jquery-ui 
<title>Using the Tabs Widget</title> 
<style> 
#Configuration 
{ 
width: 90%; 
text-align: center; 
} 
#Configuration div 


{ 


和 

</style> 

<script language="JavaScript"> 
$s(function() 


{ 
$("#Configuration").tabs(); 
}); 
</script> 
</head> 


text-align: left; 


<body> 
<h1>Using the Tabs Widget</h1> 
<form id="ConfigForm" method="get" action="Tabs.html"> 
<div id="Configuration"> 
<ul> 
<li><a href="#Tab1">Foreground Color</a></li> 
<li><a href="#Tab2">Background Color</a></li> 
<li><a href="#Tab3">0ptions</a></li> 
</ul> 
<div id="Tab1"> 
<input id="FGRed" 
type="radio" 
name="Foreground" 
value="Red" 
checked="checked" /> 
<label for="FGRed">Red</label><br /> 











GS /> 





邮 


<input 


<label 
<input 


<label 
<input 


<label 
</div> 


id="FGOrange" 

type="radio" 

name="Foreground" 

value="Orange" /> 
for="FaOrange">0range</LabeL><br /> 
id="FGGreen" 

type="radio" 

name="Foreground" 

value="Green" /> 
for="FGGreen">Green</label><br /> 
id="FGBLue" 

type="radio" 

name="Foreground" 

value="Blue" /> 
for="FGBLue">BLue</LabeL> 


<div id="Tab2"> 


<input 


<label 
<input 


<label 
<input 


<label 
<input 


<label 
</div> 


id="BGRed" 

type="radio" 

name="Background" 

value="Red" 

checked="checked" /> 
for="BGRed">Red</label><br /> 
id="BGOrange" 

type="radio" 

name="Background" 

value="Orange" /> 
for="BGOrange">Orange</label><br /> 
id="BGGreen" 

type="radio" 

value="Green" /> 
for="BGGreen">Green</label><br /> 
id="BGBLue" 

type="radio" 

name="Background" 

value="Blue" /> 
for="BGBLue">BLue</LabeL> 


<div id="Tab3"> 


<input 


<label 
<input 


<label 
</div> 
</div> 


id="Sounds" 

type="checkbox" 

name="Sounds" 

value="SpecialSounds" /> 

for="Sounds">Use Special Sounds</LabeL><br /> 
id="Effects" 

type="checkbox" 

name="Effects" 

value="SpecialEffects" /> 

for="Effects">Use Special Effects</label> 


<input id="ChangeConfig" 


type=" 


'submit" 


value="Change Configuration" /> 
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</form> 
</body> 
</htmL> 


为 了 创建 这 一 界面 ， 你 需要 引入 jQuery (https://jquery.com/)、jQuery UI 库 ， 以 及 相关 的 
jQuery UI 样 式 表 。 选 项 卡 文档 信息 出 现在 一 个 有 配置 id 的 <div> 标签 里 。 创 建 该 界面 的 
奥秘 在 于 对 $("#Configuration").tabs() 这 一 语句 的 调用 。 


4. 











1.2 ”使 界面 灵活 


削弱 用 户 输入 非法 数据 的 能 力 ， 使 界面 简洁 ， 以 及 保持 事情 简单 ， 所 有 这 些 都 以 某 种 方式 
限制 着 用 户 。 它 们 是 有 助 于 保持 数据 安全 ， 同 时 让 用 户 与 应 用 程序 的 交互 变 得 更 简单 的 约 
束 。 但 是 ， 界 面 也 需要 灵活 性 。 用 户 会 在 很 多 设备 上 使 用 应 用 程序 ， 并 不 是 所 有 的 设备 都 
能 接受 你 提供 的 初始 安排 。 让 用 户 根据 需要 组 织 屏 幕 会 给 用 户 以 “权力 ”"， 同 时 不 会 留 下 
任何 安全 漏洞 。 只 要 有 可 能 ， 一 个 界面 应 该 让 用 户 能 够 进行 以 下 操作 。 











拖 名 
在 屏幕 上 移动 元 素 会 带 给 用 户 更 好 的 界面 视 党 效果 ， 并 可 能 减少 错误 的 输入 。 至 少 ， 重 
新 组 织 界面 会 让 用 户 以 最 合适 的 方式 与 应 用 程序 交互。 

调整 大 小 

用 户 可 能 有 很 多 理由 需要 调整 一 个 界面 元 素 的 大 小 。 可 能 是 文字 太 小 了 。 将 调整 大 小 的 
行为 与 大 多 数 浏览 器 提供 的 根据 需要 使 文字 变 大 或 变 小 的 能 力 结合 起 来 ， 有 助 于 用 户 更 
好 地 浏览 信息 。 

选择 

为 已 选项 创建 正面 反馈 是 很 关键 的 。 你 不 应 该 对 用 户 的 发 现 能 力 做 任何 假设 。 已 选项 应 
该 提供 多 种 反馈 方式 ， 比 如 使 用 较 粗 的 边框 ， 以 较 白 ( 较 亮 ) 的 颜色 呈现 ， 更 改 文字 属 
性 ， 以 及 以 颜色 的 方式 提供 反馈 。 这 时 ， 安 排 专人 使 用 屏幕 阅读 器 这 样 的 辅助 功能 检查 
选项 的 效果 是 很 重要 的 。 

排序 

数据 应 该 按照 对 用 户 有 意义 的 顺序 呈现 ， 而 不 是 你 需要 的 顺序 。 为 此 ， 只 要 有 可 能 就 提 
供 多 种 排序 方式 ， 这 样 用 户 能 执行 所 需要 的 分 析 并 能 更 容易 地 做 出 选择 。 


















































jQuery 和 jQuery UI 库 提 供 了 执行 所 有 主要 的 界面 灵活 性 任务 和 大 量 其 他 任务 (比如 允许 
拖 放 数据 输入 项 ) 的 方法 。 图 4-2 展示 了 使 用 这 些 库 在 屏幕 上 移动 元 素 的 一 个 例子 。 











库 可 以 帮助 你 创建 合适 的 环境 以 供用 户 输入 数据 。 但 是 ， 这 不 能 消除 对 所 接 
收 到 的 每 份 数 据 进行 校 验 的 需求 。 当 开发 人 员 基 于 界面 假设 输入 时 ， 黑 客 会 
很 高 兴 。 你 应 该 总 是 假设 黑客 会 找到 绕 过 (你 为 诚实 用 户 提供 的 ) 界面 辅助 
功能 的 方法 ， 并 且 要 对 每 份 数据 都 进行 校 验 ， 无 论 它们 从 何 而 来 。 
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Creating a Draggable Element 


可 移动 的 段落 

















图 4-2: 让 移动 元 素 变 得 可 能 


创建 一 个 有 可 移动 元 素 的 界面 是 很 容易 的 。 下 面 的 代码 向 你 展示 了 具体 做 法 (你 也 能 在 
DragContent.html 这 个 文件 中 找到 这 段 代码 )。 


<!DOCTYPE htmL> 


T 





<html> 
<head> 
<script 
src="https://code.jquery.com/jquery-latest.js"> 
</script> 
<script 
src="https://code.jquery.com/ui/1.9.2/jquery-ui.js"> 
</script> 
<link 
rel="stylesheet" 
href="https://code.jquery.com/ui/1.9.2/themes/base/jquery-ui.css" /> 
<style> 
#MoveMe 
{ 
border: solid; 
width: 200px; 
height: 5em; 
text-align: center; 
line-height: 5em; 
} 
</style> 
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<script language="JavaScript"> 
$s(function() 


$("#MoveMe").draggable(); 
}); 
</script> 
<title>Creating a Draggable Element</title> 
</head> 


<body> 
<h1>Creating a Draggable ELement</h1> 
<p id="MoveMe"> 
Moveable Paragraph 
</p> 
</body> 
</htmL> 


在 这 个 例子 中 ，MoveMe 段落 (<p> 元 素 ) 是 移动 目标 。 注 意 ， 让 段落 可 移动 不 会 影响 到 
头 部 〈(<hl> 元 素 )。 为 了 让 段落 元 素 可 移动 ， 你 只 需 在 表单 加 载 时 调用 $("#MoveMe"). 


dra 


4. 











ggable( )。 


1.3 ”提供 辅助 功能 


创建 一 个 即使 是 能 力 最 差 的 用 户 都 能 很 好 地 使 用 的 环境 ， 对 于 大 部 分 开发 人 员 来 说 是 很 难 


的 ， 








因为 大 部 分 开发 人 员 黄 至 无 法 想象 不 能 很 好 地 使 用 计算 机 的 情况 。 开 发 人 员 支 持 的 许 





多 用 户 都 是 非常 聪明 的 ， 他 们 只 是 不 了 解 计算 机 或 应 用 程序 运行 的 方式 ， 所 以 为 他 们 提供 
各 种 各 样 的 辅助 功能 是 很 重要 的 。 

你 通常 应 该 提供 的 一 个 帮助 项 是 说 明文 字 。 将 说 明文 字 添 加 进 某 一 元 素 的 HTML 标签 中 。 
以 下 是 一 些 经 常用 于 说 明文 字 的 属性 。 








title 

title 属性 使 得 可 以 将 说 明文 字 添加 到 页 面 上 的 任何 文本 型 或 控制 型 元 素 上 。 当 用 户 用 
鼠标 大 停 在 有 title 属性 的 元 素 上 时 ， 浏 览 器 会 在 文本 气球 里 展示 额外 的 信息 。 很 重要 
的 一 点 是 ， 在 title 属性 中 不 要 使 用 太 长 的 文字 或 除 文字 以 外 的 内 容 ， 因 为 屏幕 阅读 器 
要 依靠 这 些 属性 为 有 特殊 视觉 需要 的 人 描述 元 素 。 

alt 

alt 属性 用 于 为 一 个 图 片 元 素 提 供 简短 的 描述 。 当 浏览 器 不 能 展示 图 片 时 ， 它 会 用 展示 
该 描述 。 此 外 ， 当 某 些 有 特殊 需求 的 人 看 不 到 图 片 时 ， 他 们 使 用 的 辅助 设施 通常 会 

alt 属性 的 文字 来 介绍 该 图 片 。 要 点 就 是 ，alt 属性 提供 了 对 图 片 的 描述 并 在 需要 的 时 
候 作 为 图 片 的 替代 品 。 

Longdesc 

许多 浏览 器 会 忽略 Longdesc 属性 。 与 att 属性 相 比 ，Longdesc 属性 提供 了 对 一 张 图 片 
更 长 的 描述 。 大 部 分 情况 下 ， 你 要 将 该 描述 限制 在 大 约 一 个 段落 。 其 要 点 是 提供 足够 的 
信息 ， 以 便 让 有 特殊 需要 的 人 对 该 图 片 产生 一 个 合理 的 心理 版 本 ， 至 少 包括 该 图 片 的 突 
出 点 (而 不 是 背景 )。 
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用 户 帮 助 信息 有 很 多 其 他 形式 。 大 部 分 网 站 都 缺失 的 一 种 帮助 是 提供 一 个 示例 说 明 : 对 于 
文本 框 和 其 他 将 键盘 输入 数据 作为 输入 的 输入 框 ， 你 想 要 怎样 的 输入 。 你 经 常会 看 到 文本 
框 里 包含 了 对 期 望 内 容 的 描述 ， 而 不 是 一 个 关于 期 望 内 容 的 例子 ( 当 用 户 在 文本 框 里 输入 
内 容 时 ， 示 例文 字 会 消失 )。 例 如 ， 不 要 在 文本 框 里 展示 “姓氏 ”， 而 是 给 出 一 个 真实 姓氏 
的 例子 ， 比 如 Doe (John Doe 的 姓 ) 或 类 似 的 文字 。 


任何 输入 项 还 应 该 提供 帮助 链接 。 当 用 户 点 击 该 链接 时 ， 应 用 程序 应 展示 有 额外 信息 的 帮 
助 页 面 。 这 主要 是 要 尽 可 能 简单 地 为 用 户 提供 正确 的 信息 。 你 从 一 开始 就 阻止 的 任何 错误 
将 会 降低 用 户 的 挫折 感 ， 使 数据 输入 更 准确 ， 并 且 最 重要 的 是 ， 能 避免 经 常 导致 安全 问题 
的 错误 。 


4.1.4 定义 可 访问 性 问题 
可 访问 性 是 一 个 解决 起 来 很 坏 手 的 问题 ， 特 别 是 当 使 用 现代 工具 的 时 候 。 但 是 ， 这 是 一 个 
需要 考虑 的 重要 问题 ， 因 为 根据 Web Accessibility In Mind (WebAIM) 的 数据 ， 大 约 20% 
访问 网 站 的 人 会 有 某 种 特殊 需求 : 视觉 、 听 觉 、 运 动 技能 或 认 知 。 随 着 世界 人 口 进 入 老龄 
化 时 期 ， 这 一 比例 会 变 得 更 大 。 事 实 上 ， 你 很 有 可 能 最 终 也 会 需要 某 种 辅助 来 满足 某 个 特 
殊 需 求 。 


你 可 能 想 知 道 可 访问 性 与 安全 有 什么 关系 。 当 用 户 对 某 个 界面 不 理解 时 ， 他 们 就 会 犯错 
误 。 但 是 ， 培 训 通常 有 助 于 解决 这 一 问题 ， 因 为 你 能 教会 人 们 如 何 正确 地 使 用 软件 〈 而 有 
时 候 他 们 确实 会 倾听 )。 当 人 们 因 某 一 特别 的 障碍 而 不 能 理解 其 个 界面 时 ， 他 们 仍然 会 犯 
错误 ， 但 是 再 多 的 培训 也 无 法 解决 这 一 问题 。 即 使 用 户 有 积极 的 动机 来 正确 地 使 用 软件 ， 
不 达标 的 可 访问 性 也 会 阻止 他 们 达到 这 一 目的 。 错 误 经 常会 转换 成 最 坏 的 安全 漏洞 。 预 想 
不 到 的 输入 ， 即 你 从 设想 过 会 有 人 提供 的 输入 ， 经 常 造 成 最 严重 的 问题 。 缺 少 可 访问 性 的 
应 用 程序 更 容易 创建 一 个 糟糕 的 环境 ， 从 而 使 得 破坏 安全 的 错误 经 常 发 生 。 


幸运 的 是 ， 一些 供 应 商 设 计 了 具有 某 种 级 别 的 可 访问 性 的 库 、API、 框 架 以 及 微服 务 。 例 

如 ， 它 们 避免 使 用 表格 作为 格式 化 工具 ， 因 为 这 会 给 那些 有 视力 障碍 的 人 所 使 用 的 屏幕 阅 

读 堪 造成 问题 。 但 是 ， 这 些 工具 没有 一 个 是 完美 的 ， 并 且 其 中 一 些 比 起 其 他 更 差 。 因 此 ， 

重要 的 是 要 测试 你 的 网 站 ， 以 确定 它 提供 的 是 哪 种 级 别 的 可 访问 性 。 针 对 如 何 修复 在 你 的 

网 站 中 发 现 的 可 访问 性 问题 ， 大 部 分 测试 工具 也 提供 了 提示 。 表 4-1 给 出 了 一 份 测试 工具 

的 清单 以 及 使 用 方法 的 描述 。 

表 4-1: 可 访问 性 测试 网 站 

网 站 URL 描述 

Lynx http://www.delorie.com/web/lynxview.html 这 是 一 个 有 Linux、OS X 和 Windows 版 本 但 只 
支持 文本 的 浏览 器 。 它 可 以 通过 只 展示 文字 来 
帮 有 你 检查 网 站 。 这 个 检查 可 以 帮助 你 看 到 屏幕 

阅读 器 所 看 到 的 网 站 的 样子 ， 这 样 就 更 容易 检 

测 和 修正 问题 。 在 http:/lynx.browser.org/ 这 个 

网 站 上 可 以 学 到 更 多 关于 该 产品 的 信息 
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网 站 


URL 


( 续 ) 





NIST 
Webmetrics 
Tool Suite 


http://zing.ncsl.nist.gov/webmet 








来 自 国 家 标准 与 技术 研究 所 (National Institute 




















of Standards and Technology，NIST) 的 一 组 工 
有 具 可 以 帮 你 测试 网 站 的 可 用 性 和 可 访问 性 。 例 
Web Static Analyzer 
Tool，WebSAT) 能 确保 你 的 页 面 满足 特定 的 
标 。 网 页 变量 指示 程序 (The Web 














如 ， 网 页 静态 分 析 工 具 





可 用 性 目 
Variable Instrumenter Program, WebVIP) 
助 跟踪 用 户 的 交互 行为 ， 所 以 











工具 ， 并且 NIST 会 经 常 更 新 它们 





能 帮 


你 能 知道 用 户 找 
到 网 站 功能 的 情况 。 在 这 个 网 站 上 还 有 更 多 的 





Opera 


http://www.opera.com 


与 Lynx 类 似 ， 这 个 浏览 器 能 让 你 看 到 屏 
器 所 看 到 的 网 站 的 样子 。 








I 融 











幕 阅读 





但 是 与 Lynx 不 同 的 
是 ， 该 产品 还 能 让 你 开启 或 关闭 某 些 特性 来 满 





足 比较 的 需求 。 例 如 ， 你 可 以 将 图 片 特性 关闭 ， 

















tt 


这 村 


你 就 能 看 到 标签 是 什么 样子 (在 网 页 http:/ 


help.opera.com/Windows/12.10/en/images.html 上 


可 看 到 这 个 说 明 )。Opera 在 许多 平台 上 都 可 使 





用 ,包括 Windows、OS X 和 Linux 








O’Reilly 
XML.com 


http://www.xml.com/pub/a/tools/ruwf/ 
check.html 














这 个 网 站 提供 了 一 个 XML 语法 检查 器 ， 
校 验 XHTML。 你 可 以 直接 提供 

















也 可 





个 XML 输入 


或 提供 包含 XML 内 容 的 URL。 该 工具 进行 的 





测试 会 检查 XML 的 格式 是 否 良 好 ， 它 不 
XML 实际 表达 的 意思 。 大 部 分 情况 下 ， 
用 W3C HTML Validation Service 来 为 网 
终 检查 。 但 是 ， 该 网 站 会 执行 中 间 阶 段 
检查 并 测试 XML 








会 校 验 
你 会 使 
页 做 最 
的 快速 








W3C HTML 
Validation 


Service 


http://validator.w3.0rg 





该 网 站 会 检查 你 的 页 国 
(World Wide Web Consortium, W3C) 


i 的 HTML 与 万 维 

















网 联盟 





的 建议 


和 标准 的 相符 程度 。 该 网 站 上 出 现 的 错误 意味 




















着 你 的 页 男 











览 器 
和 可 访问 性 的 要 求 。 不 要 以 为 通过 这 个 
测试 就 能 自动 让 你 的 网 站 具有 可 访问 性 
这 个 网 站 的 测试 只 是 意味 着 你 的 代码 是 了 
但 是 ， 


的 良好 的 第 一 步 

















的 代码 是 不 正确 的 ， 即 使 大 部 分 浏 
器 能 处 理 它 ， 所 以 这 个 测试 器 超越 了 可 用 性 


确保 代码 正确 是 确保 加 入 可 访问 性 特征 


网 站 的 


E 确 的 。 











Web Design 
Group HTML 
Validator 


http://www.htmlhelp.com/tools/validator/ 














这 个 网 站 会 检查 你 的 页 务 








El 




















或 计算 机 上 的 HTML。 











它 还 提供 了 一 个 选项 用 于 选择 校 验 单个 








页 面 还 




















是 整个 网 站 。 你 可 能 还 会 发 现 ， 与 W3C 
Validation Service 相 比 ， 该 网 站 对 其 检查 





HTML 
的 页 面 





没 那 么 挑 别 ， 它 看 起 来 似乎 是 输出 一 样 的 信息 ， 

















但 它 可 能 不 会 提供 关于 网 站 的 完整 校 验 














网 站 URL 描述 
WebAIM http://webaim.org 你 可 以 在 这 个 网 站 上 找到 各 种 有 趣 的 工具 来 验 
证 你 的 网 站 是 否 可 访问 。 例 如 ， 你 可 以 使 用 
WAVE Web Accessibility Evaluation Tool (http:// 
wave.webaim.org/) 来 确定 你 的 网 站 是 否 有 任何 
可 访问 性 问题 。 对 于 许多 网 站 来 说 ， 颜 色 的 使 
用 是 一 个 严重 的 问题 。Color Contrast Checker 
( http://webaim.org/resources/contrastchecker/) 这 
个 工具 可 以 帮助 你 验证 那些 有 色觉 障碍 的 人 是 
否 能 真正 看 清 你 的 网 站 
测试 工具 有 助 于 验证 开发 团队 在 创建 每 个 人 都 能 使 用 的 应 用 程序 方面 是 否 圆满 完成 了 工 
作 。 但 是 ， 实 际 的 开发 工作 需要 一 份 关于 要 执行 的 任务 以 及 要 跟踪 的 问题 的 清单 。 网 页 
http://webaim.org/standards/508/checklist 上 的 section 508 清单 有 助 于 你 为 自己 的 应 用 程序 开 
发 工作 制定 这 样 一 份 清单 。 很 有 趣 的 是 ， 这 份 清单 可 能 很 难 阅 读 ， 但 阅读 网 站 http://www. 
section508.gov/ 上 的 政府 文档 会 更 难 。 这 些 要 求 的 意义 在 于 要 确保 每 个 人 ， 无 论 他 可 能 
什么 特殊 的 需求 ， 都 能 如 你 希望 的 那样 真正 使 用 你 的 应 用 程序 。 没 有 这 些 特性 ， 你 可 能 会 
发 现 多 达 20% 的 用 户 会 遇 到 他 们 本 不 应 该 遇 到 的 问题 。 






























































如 果 处 理应 用 程序 可 访问 性 问题 的 时 间 足 够 长 ， 你 会 知道 过 去 出 现在 某 些 
网 站 上 的 Bobby 认可 (Bobby Approved) 图 标 。 遗 憾 的 是 ， 该 认可 不 再 提 
供 了 ， 至 少 不 是 作为 免费 的 服务 。 你 可 以 在 网 站 http://www.bobby-approved. 
com/ 上 找到 关于 Bobby 的 历史 。 关 键 是 要 认识 到 可 访问 性 是 一 个 非常 重要 
的 问题 ， 而 Bobby 在 帮助 人 们 将 该 特性 加 入 网 站 方面 做 了 了 不 起 的 工作 。 
IBM 最 终 收购 了 这 个 产品 。Bobby 仍然 存在 ， 只 是 它 不 是 免费 的 了 。 




















4.2 ”提供 受 控制 的 选择 


安全 与 实施 控制 有 关 。 应 用 程序 必须 控制 其 与 数据 交互 的 方式 。 如 果 不 破坏 数据 或 造成 数 
据 汇 露 ， 管 理 数 据 就 是 创建 一 个 安全 界面 的 关键 基础 。 执 行 控制 的 最 好 方式 之 一 就 是 采用 
技术 手段 确保 用 户 的 选择 仅 限 于 你 期 望 的 选项 。 使 用 特定 的 输入 控制 会 限制 用 户 的 选择 ， 
但 也 会 让 用 户 更 有 效率 ， 因 为 用 户 可 以 考虑 更 少 的 可 用 选项 。 以 下 是 一 些 常见 的 特定 输入 
控制 选择 控件 。 
。 单 选 按钮 
让 用 户 从 一 些 选 项 中 选 出 一 个 选项 。 选 择 一 个 新 的 选项 通常 会 取消 之 前 选择 的 选项 。 开 
发 人 员 最 常 犯 的 一 个 错误 是 ， 没 有 设置 默认 选中 项 。 当 数据 在 用 户 没 有 选择 的 情况 下 被 
发 送 到 服务 器 时 ， 服 务 器 会 接收 到 一 个 空 数据 并 可 能 出 现 问题 。 
。 复 选 框 
通过 勾 选 选项 ， 用 户 可 以 选择 从 无 到 所 有 的 任何 选项 。 开 发 人 员 最 常 犯 的 错误 是 允许 冲 
罕 的 选项 出 现 。 当 使 用 复 选 框 时 ， 每 一 个 选项 都 应 该 是 互 斥 的 。 
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列表 框 

根据 配置 的 不 同 ， 一 个 列表 框 可 以 表现 得 像 单 选 按钮 或 复 选 框 。 列 表 框 的 一 个 优点 是 ， 
你 可 以 在 用 户 还 没有 选择 列表 框 控件 时 将 它们 的 选项 隐藏 。 除 了 开发 人 员 在 使 用 单 选 按 
钮 和 复 选 框 时 会 遇 到 的 问题 ， 列 表 框 还 会 有 填充 选项 列表 的 问题 。 列 表 框 作为 一 个 控件 ， 
要 让 用 户 必须 有 至 少 一 个 选项 可 用 。 不 可 访问 的 数据 源 会 给 这 种 控件 造成 严重 后 果 。 
菜单 

根据 配置 ， 菜 单 可 以 允许 单 选 按钮 与 复 选 框 的 复杂 组 合 。 当 然 ， 莱 单 也 能 用 作客 户 端 应 
用 程序 的 选择 组 件 。 很 多 开发 人 员 将 菜单 弄 得 太 复 杂 。 因 为 用 户 不 会 花 太 长 时 间 搜 索 一 
个 具体 的 选项 ， 所 以 太 过 复杂 的 全 单 会 导致 在 用 户 诅 形 时 发 生 错 误 。 






































在 创建 一 个 受 控制 的 选择 环境 时 ， 除 了 标准 的 输入 类 型 (包括 较 老 的 类 型 ， 比 如 
password) ， 你 还 可 以 使 用 特殊 的 HTMLS5 特性 。 但 是 ， 这 种 情况 下 的 方案 是 为 用 户 提 供 一 
个 文本 输入 框 ， 这 意味 着 这 些 选 项 不 如 你 想象 的 那样 安全 。 以 下 是 HIML5 专 有 的 控件 。 

















color 

在 大 部 分 支持 的 浏览 器 里 表现 为 一 个 按钮 。 点 击 按钮 会 展示 系统 的 颜色 选择 器 。 当 用 户 
选择 了 一 个 新 的 颜色 ， 该 颜色 会 出 现在 按钮 里 ， 这 样 用 户 就 能 看 到 当前 的 选择 。 较 新 版 
本 的 Firefox、Chrome 和 Opera 浏览 器 都 支持 这 个 控件 。 

date 

表现 为 一 个 日 期 选择 器 ， 用 户 可 用 来 选择 具体 的 日 期 。min 和 max 属性 可 让 你 设置 可 选 
日 期 的 范围 。 较 新 版 本 的 Chrome、Safari 和 Opera 浏览 器 全 都 支持 这 个 控件 。 

datetime 

这 个 输入 类 型 目前 没有 一 款 浏 览 器 支持 ， 所 以 你 不 应 该 使 用 它 ， 即 使 规范 告诉 你 这 是 可 
用 的 。 

datetime-local 

提供 了 日 期 和 时 间 组 合 的 控制 ， 这 样 用 户 就 能 同时 选择 一 个 日 期 和 一 个 时 间 (伴随 有 这 
些 控制 的 限制 )。 当 指定 min 和 max 属性 时 ， 要 提供 日 期 和 时 间 的 值 作为 输入 。 较 新 版 
本 的 Chrome、Safari 和 Opera 浏览 器 都 支持 这 个 控件 。 




















email 
表现 为 一 个 标准 的 文本 输入 控件 。 但 是 ， 控 件 会 自动 校 验 输入 以 确保 用 户 提 供 的 是 一 个 
email 地 址 。 较 新 版 本 的 三 、Firefox、Chrome 和 Opera 浏览 器 都 支持 这 个 控件 。 


month 

表现 为 一 个 日 期 选择 器 ， 用 户 可 用 来 选择 一 个 具体 的 月 份 和 年 份 。min 和 max 属性 可 让 
你 设置 可 选 日 期 的 范围 (虽然 你 用 的 是 月 份 ， 但 你 必须 为 这 些 属性 输入 日 期 )。 较 新 版 
本 的 Chrome、Safari 和 Opera 浏览 器 都 支持 这 个 控件 。 

















number 

允许 用 户 输入 任何 数字 型 的 值 ， 但 不 允许 字母 或 特殊 符号 值 。 设 置 mn 和 max 属性 能 控 
制 输入 值 的 范围 。 较 新 版 本 的 王 、Firefox、Chrome、Safari 和 Opera 浏览 器 都 支持 这 个 
控件 。 





es 











range 

在 大 部 分 浏览 器 上 表现 为 一 个 滑动 条 。 设 置 min 和 max 属性 值 可 控制 输入 范围 。 使 用 
value 属性 来 控制 初始 的 范围 设置 。step 属性 可 控制 请 动 条 移动 时 每 一 个 位 置 变化 的 
值 ， 这 样 用 户 就 只 能 选择 特定 的 值 。 较 新 版 本 的 理 、Firefox、Chrome、Safari 和 Opera 
浏览 器 都 支持 这 个 控件 。 
search 
使 用 这 个 HTML5 控件 没有 太 特 殊 的 地 方 ， 因 为 它 表现 得 就 像 一 个 标准 的 <input> 标 
签 。 较 新 版 本 的 Chrome 和 Safari 浏览 器 支持 这 个 控件 。 

tel 

表现 为 一 个 标准 的 文本 输入 控件 。 但 是 ， 该 控件 会 自动 校 验 输入 以 确保 用 户 提 供 的 是 一 
个 格式 恰当 的 电话 号 码 。 较 新 版 本 的 Safari 浏览 器 支持 这 个 控件 。 

time 

表现 为 一 个 日 期 选择 器 ， 用 户 可 用 来 选择 一 个 具体 的 时 间 (不 是 一 个 时 区 )。min 和 max 
属性 可 让 你 设置 可 选 时 间 的 范围 。 较 新 版 本 的 Chrome、Safari 和 Opera 训 览 器 都 支持 这 
个 控件 。 
url 
表现 为 一 个 标准 文本 输入 控件 。 但 是 ， 该 控件 会 自动 校 验 输入 以 确保 用 户 提 供 的 是 一 个 
格式 正确 的 URL。 较 新 版 本 的 下、Firefox、Chrome 和 Opera 浏览 器 都 支持 这 个 控件 。 
url 输入 控件 是 目前 唯一 一 个 在 智能 手机 上 提供 特殊 支持 的 控件 (在 其 他 
电脑 类 型 里 没有 发 现 )。 在 某 些 智能 手机 上 ， 浏 览 器 会 在 感知 到 url 输入 
控件 时 添加 一 个 特殊 的 .com 关键 字 。 










































































week 

表现 为 一 个 日 期 选择 器 ， 用 户 可 用 来 选择 一 个 具体 的 星期 和 年 份 。min 和 max 属性 可 让 
你 设置 可 选 日 期 的 范围 (虽然 你 用 的 是 月 份 ， 但 你 必须 为 这 些 属性 输入 日 期 )。 较 新 版 
本 的 Chrome、Safari 和 Opera 浏览 器 都 支持 这 个 控件 。 


很 重要 的 是 要 记 住 ， 黑客 不 会 遵循 规则 或 感觉 受到 你 的 表单 的 任何 限制 。 
他 们 可 能 绕 过 这 些 控件 提供 的 保护 措施 ， 以 某 些 其 他 形式 直接 向 服务 器 
提交 数据 。 黑 客 绕 过 保护 措施 的 能 力 是 你 必须 在 服务 器 端 对 来 自 客 户 端 
的 任何 数据 进行 范围 检查 和 类 型 检查 的 原因 所 在 。 








Cc 

















要 使 用 这 些 控件 ， 你 要 使 用 <input> 标签 。 例 如 ， 要 创建 一 个 数字 输入 类 型 ， 你 可 能 会 使 
用 下 面 的 指令 (详情 见 文 件 InputTag.html)。 


<input id="NumberInput" type="number" min=1 max=5 value=1 /> 


在 这 个 例子 中 ， 用 户 会 看 到 一 个 文本 输入 控件 ， 但 它 包含 一 个 上 /下 第 头 控件 ， 如 图 4-3 
所 示 。 此 外 ，value 属性 提供 了 一 个 默认 值 。 用 户 通过 输入 一 个 新 的 值 或 使 用 上 / 下 箭头 就 
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能 轻松 地 更 改 这 个 值 。 








Using Special Input Tags X 
及 县 SS (€, @ file://l-:/WINWORD/0302 - Security for\ = C 














Using Special Input Tags 


Number Input Only: 1 [| 

















图 4-3; 一 个 数字 输入 框 带 有 一 个 上 / 下 箭头 控件 


数字 输入 框 不 会 阻止 用 户 输入 一 个 不 合格 的 值 。 但 是 它 会 执行 自动 校 验 。 根 据 浏览 器 不 
同 ， 一 个 不 正确 的 输入 会 以 某 种 形式 高 亮 提示 。 例 如 ， 在 Firefox 中 ， 边 框 颜色 会 变 得 更 
浓重 ， 且 输入 框 会 呈现 红色 ， 如 图 4-4 所 示 。 关 键 是 ，HTML5 增加 的 特性 减少 了 你 需要 
为 诚实 的 用 户 所 做 的 工作 ， 但 坚定 的 黑客 有 可 能 攻克 它们 。 








Using Special Input Tags x 
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Using Special Input Tags 
Number Input only:[Heto。  ” 舌 | 

















图 4-4: HTML5 控件 提供 了 自动 校 验 


某 些 HTMLS5 控件 比 其 他 一 些 更 安全 。 例 如 ，range 类 型 的 输入 框 通常 表现 
为 一 个 请 动 条 ， 所 以 用 户 不 会 真 的 输入 一 个 值 。 但 是 ， 你 永远 不 要 依靠 任何 
控件 提供 绝对 的 安全 。 





4.3 ”选择 UI 的 解决 方案 级 别 


当 开 发 基于 Web 的 应 用 程序 时 ， 你 要 选择 实现 哪 种 级 别 的 UI。 事 实 上 ， 大 部 分 基于 Web 
的 应 用 程序 依赖 多 个 级 别 的 界面 控件 。 页 面 的 一 部 分 采用 HTML 标签 ， 另 一 个 部 分 采用 级 
联 样 式 表 (Cascading Style Sheets，CSS) 对 界面 进行 操作 ， 而 第 三 个 部 分 依赖 JavaScript。 
很 重要 的 是 要 记 住 你 能 在 客户 端 和 服务 器 端 使 用 JavaScript， 所 以 ， 事 实 上 你 有 四 种 级 别 
的 解决 方案 可 执行 ， 如 接 下 来 的 几 小 市 描述 的 那样 。 


4.3.1 实现 标准 的 HTML 控 件 

4.2 节 介 绍 了 控制 用 户 选 择 的 方式 。 甚 中 很 多 以 HTML 控件 形式 出 现 。HTML 控件 的 优点 
是 它们 在 大 部 分 地 方 能 自动 工作 。 浏 览 器 必须 支持 控件 要 求 的 HTML 级 别 ， 但 这 是 唯一 的 
要 求 。 

不 像 其 他 大 多 数控 件 解 决 方案 ， 训 览 器 在 大 多 数 情况 下 无 需 支持 运行 脚本 以 获得 效果 。 当 
然 ， 如 果 你 想 要 完成 细节 的 工作 ， 就 需要 某 种 级 别 的 脚本 支持 。 例 如 ， 如 果 你 想 要 使 用 特 
殊 的 控件 来 确保 用 户 正确 地 填写 了 表单 ， 可 以 在 不 使 用 脚本 的 情况 下 执行 该 任务 并 将 表单 
提交 给 服务 器 处 理 。 另 一 方面 ， 如 果 你 想 要 执行 客户 端 任务 ， 比 如 客户 端 校 验 ， 那 么 大 部 
分 情况 下 会 需要 脚本 支持 (有 些 HTML5 控件 能 提供 基础 的 校 验 支 持 )。 

使 用 HTML 控件 有 一 些 缺 点 。 最 明显 的 就 是 HTML 控件 都 是 基础 的 。 如 果 你 想 要 给 网 站 
添加 些 和 活力， 那么 HTML 控件 可 能 会 让 你 失望 。 此 外 ， 你 不 能 超越 裸 机 的 基础 。 只 使 用 
HTML 控件 不 可 能 创建 出 一 个 良好 的 选项 卡 界面 ( 像 图 4-1 所 示 的 那个 ) 。 


4.3.2 ”使 用 CSS 控 件 

CSS 的 核心 目标 是 以 不 依赖 特定 浏览 器 、 设 备 或 平台 的 方式 对 页 面 内 容 进 行 格式 化 。 此 
外 ， 这 种 格式 化 不 影响 可 访问 性 的 需求 ， 因 为 用 户 通常 能 用 简单 的 格式 替换 花哨 的 CSS， 
这 样 就 能 更 好 地 在 辅助 设备 上 工作 。 也 就 是 说 ， 通 过 巧妙 的 编程 技术 ， 可 以 在 各 种 各 样 的 
任务 中 使 用 CSS。 其 中 一 个 就 是 用 HTML、CSS 和 JavaScript 的 组 合 来 创建 各 种 类 型 的 控 
件 ， 重 点 在 于 CSS。 换 言 之 ， 你 可 以 用 CSS 来 创建 控件 ， 而 不 是 依靠 HTML 或 JavaScript 
来 完成 任务 。 

有 可 用 的 工具 会 有 助 于 用 CSS 来 创建 控件 。 一 个 可 查找 所 需 工 具 的 地 方 是 Dynamic Drive 
(http://www.dynamicdrive.com/)。 当 你 访问 该 网 站 时 ， 会 发 现 各 种 类 型 的 工具 ， 包 括 这 个 例 
子 所 关注 的 Button Maker (http://tools.dynamicdrive.com/button/)。 图 4-5 展示 了 第 一 次 访问 
Button Marker 时 的 样子 。 你 能 使 用 这 个 页 面 的 设置 来 生成 创建 一 个 微 按钮 所 需 的 CSS。 但 
是 ， 你 可 以 用 其 他 工具 来 简单 地 创建 其 他 类 型 的 控件 。 
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图 4-5: Button Marker 帮 你 创建 微 按钮 


这 个 例子 的 输出 是 一 些 CSS 和 一 个 名 为 MyButton.gif 的 图 形 交换 格式 (Graphic Interchange 
Format，GIF) 文件 。 示 例 代 码 (可 在 TestButton.html 中 找到 ) 相对 简单 ， 如 下 所 示 。 


<!DOCTYPE html> 


<html> 
<head> 
<title>Testing a Micro Button</title> 
<style type="text/css"> 
#MicroTest 
{ 
border: none; 
background-color: transparent; 
} 
</style> 
</head> 


<body> 
<h1>Testing a Micro Button</h1> 
<button id="MicroTest" 
onclick="alert('Clicked!')"> 
<img src="MyButton.GIF"> 
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</button> 
</body> 
</htmL> 
注意 这 段 代 码 是 如 何 使 用 HIML 和 JavaScript 来 支持 的 。 按 钮 本 身 是 一 个 GIF 文件 。CSS 
代码 执行 所 需 的 格式 化 任务 。 当 然 ， 格 式 化 在 现实 的 应 用 中 会 更 复杂 。 这 个 例子 的 最 终结 
果 是 一 个 如 图 4-6 所 示 的 按钮 。 
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图 4-6: 这 个 微 按钮 功能 完整 并 且 美 观 大 气 


创建 CSS 控件 的 优点 是 所 有 东西 都 是 本 地 生成 的 ， 所 以 它们 很 好 看 ， 但 应 用 程序 也 能 执行 
得 很 好 。 此 外 ，CSS 让 你 能 够 创建 充满 活力 的 应 用 ， 所 以 使 用 它们 会 更 加 有 趣 。CSS 的 使 
用 还 能 给 用 户 视觉 提示 ， 这 意味 着 你 能 用 它们 减少 错误 ， 即 增强 应 用 程序 的 安全 性 。 

当 涉 及 安全 性 时 ，CSS 还 有 某 些 限制 。 为 了 获得 任何 级 别 的 校 验 ， 你 必须 使 用 HIML5 和 
JavaScript 技术 。CSS 不 能 提供 任何 校 验 的 可 能 ， 因 为 它 不 是 设计 用 来 执行 这 种 任务 的 。 
记 住 ，CSS 的 设计 者 表示 它 就 是 用 于 基本 的 页 面 格式 化 的 ， 除 此 之 外 没有 其 他 的 功能 。 通 
过 巧妙 的 编程 ， 你 可 以 得 到 CSS 能 提供 的 一 些 有 趣 的 效果 。 


4.3.3 ”用 JavaScript 创 建 控件 


谈 到 控件 ，JavaScript 提供 了 大 多 数 开发 人 员 用 来 构建 复杂 应 用 程序 的 方案 。 是 的 ， 开 发 
人 员 还 依靠 HTMLS5 的 位 置 支持 和 CSS3 的 格式 化 支持 ， 但 是 定义 界面 的 核心 任务 取决 于 
JavaScript。 当 创建 一 个 界面 时 ， 你 有 两 个 级 别 的 JavaScript 支持 ， 并 且 可 能 在 一 个 应 用 程 
序 中 实现 这 两 种 级 别 的 支持 。 下 面 描述 了 客户 端 和 服务 器 端的 控件 。 

1. 依靠 客户 端 控件 

本 章 包 含 了 一 些 以 不 同方 式 使 用 JavaScript 来 创建 客户 端 控 件 的 例子 。 通 常 你 不 会 手动 创 
建 控件 ， 而 会 使 用 某 个 库 ， 如 jQuery 和 jQuery UI。 当 使 用 客户 端的 控件 时 ， 应 用 程序 从 
本 地 或 远程 服务 器 加 载 库 ， 但 只 要 库 已 加 载 ， 所 有 控件 都 会 在 本 地 运行 。 本 书后 面 的 章节 
(特别 是 第 6 章 、 第 7 章 和 第 8 章 ) 会 讨论 使 用 进程 内 代码 库 支 持 的 后 果 。 客 户 端 处 理 的 
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主要 好 处 是 你 能 获得 速度 优势 ， 并 且 应 用 程序 在 多 数 情况 下 更 可 靠 ， 因 为 你 能 稳定 访问 使 
应 用 程序 正常 运行 的 各 个 部 分 。 

JavaScript 提供 了 客户 端 控件 验证 的 最 佳 方案 。 你 可 以 将 校 验 配置 为 按 你 想 要 的 方式 工作 。 
这 种 校 验 还 能 提供 比 其 他 类 型 的 校 验 更 多 的 功能 。 但 是 ， 因 为 黑客 能 看 到 你 的 代码 ， 所 以 
他 们 有 可 能 想 出 攻克 你 的 措施 的 策略 。 


使 用 客户 端 控 件 的 一 个 重要 的 安全 问题 是 ， 你 正在 将 别人 的 代码 融入 自己 的 应 用 程序 中 。 
这 意味 着 你 的 应 用 程序 和 你 从 来 没有 看 过 的 代码 之 间 有 一 个 信任 关系 。 是 的 ， 你 可 以 查看 
如 jQuery 和 jQuery UI 这 样 的 代码 库 的 内 容 ， 但 是 很 少 开发 人 员 有 时间 这 样 做 且 青 定 没有 
耐心 去 检查 核心 的 底层 代码 。 客 户 端 控件 有 潜在 风险 ， 你 应 该 将 其 作为 应 用 程序 安全 策略 
的 一 部 分 进行 考虑 。 

2. 依靠 服务 器 端 控 件 

服务 器 端 控 件 通常 使 用 服务 器 上 的 某 个 PHP 脚本 或 其 他 脚本 启动 。 在 许多 情况 下 ， 你 能 
接 调 用 脚本 ,传递 其 所 需要 的 数据 ， 并 在 浏览 器 中 看 到 脚本 的 输出 。 这 一 过 程 全 都 在 服务 
器 上 运行 。 因 为 脚本 是 进程 外 的 ， 所 以 更 容易 保证 你 的 应 用 程序 与 第 三 方 代码 分 离 ， 这 使 
得 你 的 应 用 程序 更 安全 。 但 是 当 使 用 服务 器 端 控 件 时 ， 你 要 处 理 可 靠 性 和 速度 方面 的 问题 。 
这 种 方案 的 客户 端 部 分 通常 要 依赖 JavaScript。 事 实 上 ， 通 过 采用 如 异步 JavaScript 和 
XML (Asynchronous JavaScript and XML，AJAX) 这 样 的 技术 ， 你 可 以 将 来 自 服务 端 控件 
的 输出 和 藤 入 到 页 面 中 并 根据 需要 更 新 其 内 容 。 当 使 用 这 种 方式 时 ， 通 过 仅 将 数据 发 送 给 服 
务 器 并 只 更 新 该 数据 影响 到 的 页 面部 分 ， 可 以 提升 应 用 程序 的 速度 。 


4.4” 校 验 输 入 


在 所 有 你 能 做 的 确保 应 用 程序 安全 的 事项 中 ， 最 重要 的 是 要 假设 你 接收 到 的 所 有 数据 都 是 
恶意 的 。 当 你 假设 接收 到 的 每 个 输入 都 包含 病毒 或 某 些 将 破坏 系统 的 漏洞 时 ， 就 会 开始 以 
新 的 方式 看 待 输入 。 是 的 ， 这 非常 偏执 ， 但 这 个 观念 对 于 确保 数据 安全 很 重要 。 用 体现 恶 
意 输 入 观点 的 方式 校 验 数据 在 今天 的 应 用 环境 中 很 重要 。 即 便 有 这 种 观点 ， 你 也 可 能 发 现 
你 还 不 够 偏执 (黑客 在 寻找 掩盖 恶意 数据 的 新 方法 方面 非常 有 创造 力 )， 并 且 需 要 聘请 更 
偏执 的 人 。 接 下 来 的 几 个 小 节 会 告诉 你 如 何 通 过 你 能 想到 的 各 种 方式 彻底 校 验 每 一 个 输 
入 ， 以 此 保护 应 用 程序 及 其 相关 的 数据 。 


4.4.1 只 允许 特定 的 输入 
你 最 常 接触 的 数据 校 验 问题 是 应 用 程序 没有 很 好 地 控制 输入 。 当 你 思考 这 个 问题 时 ， 会 发 
现 它 是 许多 现 有 漏洞 的 问题 。 你 永远 不 应 该 让 黑客 通过 应 用 程序 将 一 段 脚本 或 其 他 不 想 接 
收 的 内 容 传递 给 服务 器 。 当 然 ， 没 有 人 会 在 客户 端 允 许 这 样 的 内 容 ， 但 这 种 内 容 无 论 如 何 
都 会 来 到 服务 器 上 。 下 面 列 出 了 一 些 检查 方法 ， 可 用 于 任何 从 客户 端 向 服务 器 传递 的 数据 
(然后 要 在 服务 器 上 进行 二 次 检查 )。 
。 类 型 

总 是 校 验 数据 类 型 是 正确 的 做 法 。 字 符 虽 
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包含 任何 东西 。 只 要 有 可 能 就 使 用 更 严格 的 数据 类 型 。 例 如 ， 当 你 需要 数字 型 输入 时 ， 
请 采用 数字 数据 类 型 而 不 是 字符 串 类 型 来 传递 它 。 

。 范围 
校 验 任何 有 范围 的 数据 类 型 的 范围 。 数 字 明 显 属 于 这 种 类 型 。 但 是 ， 你 也 可 以 检查 日 期 
和 时 间 的 范围 。 

。 正则 表达 式 
确定 数据 的 形式 是 正确 的 。 在 某 些 情 况 下 ， 可 以 用 正则 表达 式 检查 字符 串 ， 它 将 输入 的 
字符 串 模 式 与 预 设 的 模式 进行 匹配 。 例 如 ， 当 你 想 要 一 个 电话 号 码 作 为 输入 时 ， 它 会 确 
保 你 真正 得 到 的 就 是 一 个 电话 号 码 。 


。 特殊 字符 
用 户 通常 不 需要 发 送 任何 特殊 字符 给 应 用 程序 。 黑 客 会 以 非常 多 的 方式 使 用 特殊 字符 ， 
这 些 特殊 字符 没有 一 个 会 对 你 的 应 用 程序 有 帮助 。 所 以 ， 清 除 包含 特殊 字符 的 内 容 是 必 
须要 做 的 。 


最 好 的 用 户 输入 是 那些 你 从 一 ee 例如 ， 如 果 你 希望 用 户 从 红色 、 黄 色 和 
绿色 中 进行 选择 ， 那 么 可 接受 的 答案 就 只 能 是 红色 、 黄 色 和 绿色 。 任 何其 他 的 选择 都 是 非 
法 的 ， 且 你 应 该 拒绝 它 。 0 就 越 容易 保证 应 用 程序 及 其 相关 的 数 
据 安 全 。 


4.4.2 ”查找 鬼 崇 的 输入 


黑客 会 持续 寻找 提供 非法 输入 数据 的 方法 。 目 的 是 让 应 用 程序 以 某 些 特定 的 方式 崩溃 或 迫 
使 应 用 程序 以 意外 的 方式 作出 反应 。 例 如 ， 鬼 崇 的 输入 是 SQL 注入 攻击 的 根本 原因 。 黑 
客 利用 表单 里 的 输入 创建 一 个 让 应 用 程序 最 终 以 意外 方式 运行 的 条 件 。 这 种 攻击 造成 的 影 
响 范围 从 损坏 数据 到 执行 不 属于 数据 部 分 的 脚本 。 你 可 以 在 网 页 http://blogs.msdn.com/b/ 
raulga/archive/2007/01/04/dynamicsql-sql-injection.aspx 和 https:/www.owasp.org/index.php/ 
SQL _Injection_Prevention_Cheat_Sheet 上 找到 关于 这 种 攻击 的 一 些 额外 信息 。 


虽然 这 看 起 来 确实 像 个 好 主意 ， 但 你 永远 不 应 该 允许 用 户 提供 创建 动态 脚本 
的 数据 。 事 实 上 ， 完 全 不 使 用 动态 脚本 是 很 好 的 做 法 ， 除 非 你 能 保证 用 于 创 
建 动态 脚本 的 数据 源 。 
















































































4.4.3 ”请 求 新 的 输入 

黑客 最 喜欢 利用 的 一 个 漏洞 是 寻求 这 样 一 些 情况 : 应 用 程序 会 对 第 一 次 传递 过 来 的 输入 数 
人 但 在 随后 的 传递 中 会 放松 检查 。 由 于 许多 语言 处 理 循环 的 方式 ， 这 种 
情况 很 容易 发 生 。 只 有 仔细 的 开发 者 会 在 第 二 次 及 随后 的 输入 重 试 中 避免 这 种 情况 。 每 一 

次 代码 的 输入 都 应 该 依赖 相同 的 代码 进 和 二 检查 和 校 验 输入 。 无 论 用 户 是 第 一 次 还 是 第 三 次 

输入 数据 ， 检 查 都 应 该 提供 相同 的 保护 。 
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但 是 ， 当 你 开始 质疑 用 户 输入 数据 的 动机 时 ， 这 个 问题 有 新 的 含义 。 例 如 ， 你 需要 考虑 为 
什么 用 户 需 要 重 试 10 次 才能 在 表单 里 输入 正确 的 名 字 。 用 户 知道 他 们 的 名 字 ， 这 不 是 他 
们 可 以 突然 忘记 的 东西 。 在 应 用 程序 中 一 直 重 复 尝试 输入 明显 的 数据 可 能 意味 着 某 些 事 
情 ， 而 不 只 是 遇见 了 健忘 的 用 户 。 你 需要 质疑 表单 是 否 足 够 干净 。 当 你 确定 表单 是 干净 的 
且 你 有 恰当 的 校 验 时 ， 你 需要 开始 寻找 这 个 问题 的 其 他 原因 ， 比 如 黑客 正在 尝试 不 同 的 方 
法 攻破 应 用 程序 。 总 之 ， 大 部 分 应 用 程序 应 该 允许 一 定 次 数 的 重 试 ， 然 后 将 其 关闭 并 等 待 
管理 员 的 关注 。 


永远 不 要 假设 用 户 经 过 全 面 的 培训 。 有 些 用 户 需要 大 量 的 培训 时 间 并 且 从 未 
能 真正 准确 地 知道 自己 应 该 做 什么 。 除 非 你 想 花 费时 间 寻 找 那 些 潜伏 在 黑客 
从 来 不 会 去 的 地 方 的 墨客， 否则 你 应 该 将 用 户 培训 作为 首要 的 安全 需求 。 大 
量 的 表单 重 试 可 能 指向 的 是 更 多 培训 时 间 的 需求 ， 而 不 是 可 能 的 黑客 问题 。 












































4.4.4 使 用 客户 端 和 服务 器 端 校 验 

在 创建 基于 Web 的 应 用 程序 时 ， 应 用 程序 的 速度 是 一 个 首要 问题 。 用 户 的 关注 时 间 在 1 到 
5 秒 内 ， 不 足以 执行 太 多 的 校 验 。 但 是 ， 执 行 校 验 并 获得 用 户 的 正确 输入 是 很 重要 的 。 为 
此 ， 采 用 客户 端 校 验 看 起 来 是 可 行 的 办 法 。JavaScript 程序 可 以 快速 检测 错误 的 输入 ， 并 
在 数据 与 服务 器 之 间 来 回 传递 之 前 告诉 用 户 。 事 实 就 是 ， 你 确实 需要 客户 端 校 验 。 


但 是 客户 端 校 验 有 它 自身 的 一 些 问题 。 数 据 必须 在 某 些 点 离开 其 所 在 的 系统 并 发 送 给 服务 
器 。 在 浏览 器 发 送 数据 及 服务 器 接收 数据 这 段 时 间 ， 墨 客 有 各 种 机 会 拦截 到 数据 并 更 改 
它 。 为 了 确保 数据 真 的 有 正确 的 类 型 和 内 容 ， 你 需要 在 服务 器 端 执 行 二 次 校 验 检查 。 如 果 
无 人 自 改 数据 ， 二 次 校 验 将 很 快 通过 ， 且 用 户 将 在 合理 的 时 间 内 获得 响应 。 


有 些 人 会 认为 使 用 客户 端 和 服务 器 端 两 层 校 验 太 过 于 谨慎 。 但 是 ， 你 确实 需要 这 两 层 
校 验 。 事 实 上 ， 有 时 候 无 论 你 是 否 想 要 ， 你 都 获得 了 这 两 层 校 验 。 例 如 ， 当 使 用 一 些 
HIML5 控件 时 ， 你 获得 了 自动 的 校 验 功能 。 确 实 ， 校 验 并 不 总 是 最 精确 和 完全 的 ， 但 它 
为 用 户 提 供 了 一 定 级 别 的 安全 性 。 记 住 客户 端 校 验 是 为 了 保护 用 户 和 让 用 户 开心 的 。 你 所 
做 的 任何 减少 用 户 挫 折 感 的 事情 ， 也 会 减少 应 用 程序 的 支持 成 本 和 安全 担忧 。 


服务 器 端的 校 验 检查 需要 覆盖 每 一 个 输入 和 输出 。 只 在 数据 从 客户 端 到 达 时 进行 检查 ， 然 
后 就 假设 没 人 会 在 服务 器 上 对 其 进行 自 改 是 不 够 的 。 黑 客 会 很 积极 地 攻击 服务 器 ， 因 为 对 
服务 器 的 一 次 入 侵 可 影响 到 大 量 的 用 户 。 因 此 ， 你 需要 对 服务 器 上 的 每 个 环节 的 每 个 输入 
进行 校 验 ， 以 确保 应 用 程序 及 其 数据 的 安全 。 

你 最 常 要 处 理 的 与 校 验 检查 相关 的 问题 是 应 用 程序 的 速度 。 当 应 用 程序 变 慢 时 ， 并 非 只 
用 户 能 感受 到 问题 ， 服 务 器 负载 也 会 增加 。 因 此 ， 你 必须 保持 校 验 检查 与 速度 的 平衡 。 安 
全 通常 就 是 定义 在 追求 某 些 目标 时 你 愿意 承受 多 大 的 风险 。 重 要 的 是 管理 层 要 理解 你 必须 
维持 应 用 程序 设计 与 开发 过 程 的 平衡 。 
一 些 开 发 人 员 还 错误 地 认为 在 某 个 问题 上 增加 额外 的 硬件 就 可 以 解决 问题 。 增 加 硬件 会 降 
低 整 个 系统 的 可 靠 性 。 可 靠 性 的 降低 也 是 一 个 安全 风险 。 如 果 黑 客 有 5 台 而 不 是 1 台 服 务 
器 可 攻击 ， 那 么 找到 一 台 缺 少 适 当 补 丁 或 负载 过 大 而 足以 造成 崩 福 的 服务 器 的 可 能 性 会 大 
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大 提高 。 增 加 用 于 服务 应 用 程序 的 硬件 数量 是 一 种 解决 方案 ， 但 你 必须 将 其 与 应 用 程序 速 
度 的 提升 进行 平衡 ， 不 留 下 重大 安全 漏洞 。 


4.5 期 待 意外 


用 户 有 时 候 是 令 人 吃惊 的 。 他 们 似乎 要 找到 一 个 你 没有 想 过 要 修补 的 漏洞 。 无 聊 的 一 天 可 
能 要 变 成 一 个 查找 是 什么 破坏 了 应 用 程序 的 会 议 。 事 实 上 ， 用 户 可 能 甚至 没有 去 破坏 应 用 
程序 ， 这 可 能 只 是 在 打 电话 时 无 意 做 的 事情 。 关 键 是 用 户 会 找 出 你 从 未 预想 到 的 应 用 程序 
的 问题 。 这 些 问题 可 对 保护 应 用 程序 及 其 相关 数据 造成 各 种 麻烦 。 有 时 候 一 个 问题 可 使 应 
用 程序 甚至 是 运行 的 服务 器 崩溃 。 你 可 能 会 惊叹 于 用 户 所 做 的 事情 ， 但 是 在 现实 世界 里 ， 
无 聊 的 用 户 会 带 来 意 想不到 的 事件 。 


黑客 也 会 对 你 的 应 用 程序 执行 意外 的 操作 。 但 是 ， 在 这 种 情况 下 ， 意 外 是 更 续 密 和 有 条 理 
的 。 墨 客 会 持续 试探 你 的 防御 措施 以 找到 和 人 侵 方 法 ， 直 到 有 新 的 目标 出 现 、 墨 客 感到 厌倦 
了 或 找到 了 入 侵 方 法 。 大 部 分 情况 下 ， 如 果 黑 客 确定 要 做 ， 他 们 就 能 找到 入 侵 方法 。 黑 客 
要 入 侵 你 的 应 用 程序 从 来 不 是 个 问题 ， 但 黑客 什么 时 候 会 成 功 则 是 个 问题 。 运 用 安全 措施 
可 以 减缓 黑客 的 动作 ， 并 且 采 用 适当 的 监控 ， 你 就 可 以 在 墨客 可 能 造成 任何 真正 的 破坏 之 
前 发 现 他 们 蕉 伏 在 你 的 系统 中 。 


许多 用 户 和 黑客 造成 的 意外 都 与 输入 有 关 。 例 如 ， 你 可 能 期 望 一 个 字符 串 作 为 输入 ， 却 接 
收 到 一 段 脚本 。 用 户 可 以 点 击 意料 之 外 的 组 合 键 产生 非法 的 字符 串 ， 从 而 造成 应 用 程序 或 
服务 器 崩溃 。 有 时 候 我 们 只 是 假设 了 用 户 会 做 某 件 事情 ， 但 假设 另 一 件 看 起 来 似乎 更 合 
适 。 例 如 ， 在 要 求 回 复数 字 时 ， 用 户 可 能 回复 的 是 一 个 字符 串 (或 相反 )。 当 然 ， 黑 客 正 
在 寻找 各 种 恶意 的 方法 提供 你 并 不 期 望 的 输入 ， 并 将 故意 提供 你 不 期 望 的 输入 。 
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构建 可 徘 的 代码 





你 可 能 会 想 ， 在 一 本 以 安全 为 主题 的 书 中 ， 为 什么 用 一 章 来 讲解 构建 可 靠 的 代码 。 应 用 程 
序 的 速度 、 可 靠 性 和 安全 性 之 间 存 在 着 一 种 内 在 关系 。 其 中 每 个 元 素 都 在 将 好 的 应 用 程序 
变 成 优秀 应 用 程序 的 过 程 中 发 挥 一 定 的 作用 。 你 在 强调 一 种 元 素 比 其 他 元 素 更 重要 时 ， 一 
定 会 以 某 种 方式 削弱 应 用 程序 的 重要 性 。 当 然 ， 公 司 确实 会 有 意 强 调 其 中 一 个 元 素 ， 但 这 
通常 是 为 了 达到 特定 的 目标 。 例 如 ， 你 可 能 有 一 个 要 不 惜 一 切 代价 保护 应 用 程序 的 法 律 要 
求 ， 在 这 种 情况 下 可 能 需要 牺牲 一 定 的 速度 和 可 靠 性 以 达到 这 一 目标 。 但 是 对 于 大 部 分 的 
应 用 程序 来 说 ,平衡 这 三 者 是 很 关键 的 。 理 解 速度 、 可 靠 性 和 安全 性 的 关系 后 ， 你 才 有 可 
能 实现 最 大 程度 上 的 安全 的 应 用 程序 ， 并 且 才 有 可 能 在 三 者 都 受到 重视 的 环境 中 创建 出 运 
行 良 好 的 应 用 程序 。 


本 章 将 可 靠 性 视 为 与 安全 性 相关 的 东西 。 换 言 之 ， 本 章 将 检验 你 如 何平 衡 可 靠 性 以 达到 
公司 具体 的 安全 目标 。 本 章 还 会 将 可 靠 性 视 为 一 门 统计 科学 ， 但 不 会 用 可 靠 性 佑 算 的 细 
市 来 烦 你 。 重 点 是 要 理解 与 应 用 程序 安全 状态 相关 的 预 估 风险 的 概念 。 如 果 有 人 告诉 你 
应 用 程序 不 会 产生 与 数据 及 机 构 完整 性 有 关 的 风险 ， 那 说 明 这 个 人 没有 真正 理解 可 靠 性 
和 安全 性 。 


作为 处 理 可 靠 性 问题 的 一 部 分 ， 本 章 将 从 几 个 角度 探究 可 靠 性 。 例 如 ， 为 了 创建 可 靠 的 应 
用 程序 ， 你 必须 定义 团队 协议 以 确保 每 个 人 都 理解 所 需 的 概念 。 可 靠 性 专家 还 要 从 他 们 进 
行 的 可 靠 性 估算 的 每 次 迭 代 中 学 习 ， 同 样 ， 你 必须 包含 一 个 反馈 回路 ， 以 公司 在 其 特定 环 
境 中 看 待 可 靠 性 的 方式 作出 改变 。 还 有 采用 成 套 解决 方 案 的 问题 。 因 为 你 不 会 从 头 开始 构 
建 很 多 应 用 程序 ， 所 以 明白 在 应 用 程序 中 采用 成 套 解决 方案 会 带 来 的 影响 是 很 重要 的 。 
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这 一 章 的 主要 思想 是 ， 世 界 上 最 可 靠 的 应 用 程序 是 在 执行 任务 时 不 会 出 现任 
何 中 断 的 应 用 程序 。 这 就 要 排除 对 外 部 处 理 、 输 入 或 资源 的 使 用 ， 因 为 这 三 
项 都 有 故障 点 。 这 样 的 应 用 程序 没有 用 户 ， 且 需要 在 可 靠 性 极 高 的 硬件 上 运 
行 。 但 是 ， 即 使 这 些 要 素 都 满足 ， 要 想 创建 100% 可 靠 的 应 用 程序 仍然 是 不 
可 能 的 。 每 个 应 用 程序 都 有 可 能 出 故障 ， 变 得 不 那么 可 靠 。 





























缺乏 可 靠 性 会 毁 了 公司 

行业 杂志 的 头条 经 常 是 关于 安全 故障 的 。 黑 客 侵入 所 谓 的 安全 健康 记录 或 窃取 成 千 上 
万 信用 卡 用 户 的 社会 安全 号 码 都 是 大 新 闻 。 报 道 可 靠 性 的 新 闻 似 乎 越 来 越 少 了 。 但 是 ， 
缺乏 可 靠 性 会 导致 严重 的 后 果 ， 其 至 是 公司 破产 。 

想 想 Knight Capital Group (http://dealbook.nytimes.com/2012/08/02/knight-capital-says-trading- 
mishap-cost-it-440-million/?_r=0) 的 例子 。 它 用 来 与 纽约 证 券 交 易 所 进行 交互 的 软件 出 了 
个 小 差错 ， 导 致 其 购买 了 市 值 近 70 亿美 元 但 其 实 并 不 想 购 买 的 股票 。 马 上 卖 掉 这 些 
股票 致使 该 公司 蒙受 了 4.4 亿 美元 的 净 损 失 。 但 是 ， 损 失 很 快 变 得 更 大 。 随 着 人 们 
对 Knight Capital Group 失去 信心 ， 它 开始 亏损 苦 至 赤字 。 最 终 ， 另 一 家 公司 Getco 
收购 了 Knight Capital Group (http:/www.reuters.com/article/2012/12/19/us-knightcapital-getco- 
idUSBRE8BIOOF20121219) ， 而 这 全 都 是 因为 一 个 软件 的 小 错误 。 








5.1 区 分 可 靠 性 和 安全 性 


有 些 人 将 可 靠 性 等 同 于 安全 性 。 但 是 ， 可 靠 性 和 安全 性 是 对 应 用 程序 性 能 完全 不 同 的 两 个 
度量 。 是 的 ， 这 两 种 度量 相互 影响 ， 但 许多 人 没有 真正 理解 影响 的 方式 。 一 个 可 靠 的 应 用 
程序 不 一 定 是 安全 的 ， 反 过 来 也 一 样 。 接 下 来 将 详细 地 揭示 可 靠 性 和 安全 性 之 间 的 关系 。 
研究 本 章 所 描述 示例 的 最 好 方式 是 使 用 可 下 载 的 代码 ， 而 不 是 手动 键入 这 些 
代码 。 使 用 下 载 的 代码 可 减少 潜在 的 错误 。 你 可 以 在 可 下 载 代码 的 \S4WD\ 
Chapter05 目录 下 找到 本 章 的 例子 。 




















5.1.1 定义 可 靠 性 和 安全 性 的 角色 

可 靠 性 是 对 应 用 程序 出 现 故 障 的 频繁 程度 的 度量 。 这 是 一 个 统计 学 度量 。 你 可 以 用 可 靠 性 
来 回答 应 用 程序 在 特定 环境 下 出 现 故障 的 可 能 性 有 多 大 。 可 靠 性 还 会 告诉 你 应 用 环境 什么 
时 候 会 变化 。 例 如 ， 当 你 添加 了 人 员 且 应 用 程序 的 负载 增加 时 ， 可 靠 性 就 可 能 会 降低 ， 除 
非 你 设计 的 应 用 程序 能 很 好 地 进行 扩展 。 就 算 软 件 很 完美 ， 硬 件 也 会 到 达 一 个 极限 点 ， 可 
靠 性 仍 将 降低 。 因 此 ， 可 靠 性 是 对 整体 系统 的 衡量 。 硬 件 、 用 户 、 平 台 、 操 作 环 境 、 管 理 
技巧 以 及 各 种 其 他 因素 都 会 影响 可 靠 性 ， 并 改变 你 对 应 用 程序 错误 或 故障 的 看 法 。 


安全 性 是 对 应 用 程序 出 现 故障 时 会 造成 多 大 影响 的 度量 。 不 像 可 靠 性 ， 没 有 统计 学 方法 来 
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衡量 安全 性 。 你 所 拥有 的 是 对 破坏 的 可 能 性 评估 ， 


心 来 进行 量化 。 如 果 黑 客 意志 坚定 ， 一 定 要 入 侵 你 
LE 安全 性 时 ， 你 还 必须 考虑 监控 的 作用 以 及 团队 快速 响应 漏洞 的 能 力 。 


能 找到 方法 。 当 处 至 





在 这 两 种 情况 下 ， 当 加 在 应 用 程序 之 上 的 压力 大 过 甚 承 


























这 只 能 通过 那些 想 造 成 破坏 的 黑客 的 决 
的 应 用 程序 来 制造 破坏 ， 那 他 们 几乎 就 





县 能 


受 能 力 时 ， 应 用 程序 就 会 出 现 故 





障 。 出 现 故 障 的 应 用 程序 无 法 履行 正确 地 管理 








数据 这 


主要 职责 。 这 种 失职 如 何 发 生 取决 


于 应 用 程序 及 其 出 现 故障 的 方式 。 可 靠 性 故障 往往 导致 数据 的 破坏 ， 而 安全 性 故障 则 往往 


导致 数据 泄露 或 系统 完整 性 受 损 。 








说 明 只 要 安全 性 与 还 要 可 靠 性 之 间 的 区 别 是 很 重要 的 。 以 下 是 文件 RangeCheckl.html 中 的 








代码 ， 展 示 了 客户 端的 安全 代码 (你 还 要 在 服务 器 
<!DOCTYPE html> 


<html> 
<head> 
<title>Performing a Range Check</title> 
<script language="javascript"> 
function testValue() 


{ 
vaLue = document .getELementById( 
if (vaLue == "") 
alert("Please type a number 上 
return; 
if ((value < 0) || (value > 5)) 
alert("Value must be between 
} 
else 
{ 
alert("Value = " + value); 
} 
} 
</script> 
</head> 
<body> 


<h1>Performing a Range Check</h1> 
<input id="Data" type="number" value="0" 
<button id="Test" onclick="testValue()"> 
Test 
</button> 
</body> 
</html> 


在 这 个 例子 中 ， 在 <input> 标签 上 使 用 上 下 箭头 的 





端 


、» 
Un 


检查 数据 ) 。 


"Data" ) .vaLue; 


和 内 


0 and 5!"); 


min=0 max=5 /><br /> 











围 之 外 的 数据 





用 户 永 远 不 会 提供 限定 范 





(如 图 5-1 所 示 )。 但 是 ，testvatue() 中 的 JavaScript 代码 还 能 确保 即使 是 键盘 输入 的 数据 


也 不 会 超出 范围 。 使 用 nunber 输入 类 型 意味 着 ， 
那么 testValue() 实际 接收 到 的 是 一 个 空 值 。 
的 反馈 。 


站 > 全 已 


EHeE 





如 果 某 人 输入 了 如 “Hello” 这 样 的 值 
很 好 地 检查 这 种 情况 并 为 用 户 提供 适当 











? 
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, Performing a Range Check - Mozilla Firefox [eal 攻 司 
File Edit View History Bookmarks Tools Help 


区 Performing a Range Check  X 
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Performing a Range Check 

















图 5-1: 使 用 恰当 的 控件 可 让 范围 检查 更 加 容易 


问题 在 于 这 段 代码 是 安全 的 ， 但 不 是 可 靠 的 。 如 果 限 制 条 件 改变 了 ， 那 么 这 上 段 代码 将 不 再 
有 效 。 下 面 的 RangeCheck2.html 示例 通过 使 用 <input> 标签 上 的 mx 和 max 属性 进行 范围 
检查 ， 从 而 让 代码 变 得 更 可 靠 。 


<!DOCTYPE htmL> 





<htmL> 
<head> 
<title>Pperforming a Range Check</title> 
<script language="javascript"> 
function testValue() 
{ 
input0bj = document.getElementById("Data"); 
value = input0bj.value; 
if (value == "") 
{ 
alert("Please type a number!"); 
return; 


if ((value < input0Obj.getAttribute("min")) || 
(value > input0bj.getAttribute("max"))) 
{ 


} 
else 


{ 
} 


alert("Value must be between 0 and 5!"); 


alLert("VaLue = " + value); 


} 
</script> 
</head> 
<body> 
<h1>Performing a Range Check</h1> 
<input id="Data" type="number" value="0" min=0 max=5 /><br /> 
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<button id="Test" onclick="testValuyue()"> 
Test 
</button> 
</body> 
</html> 


基本 的 检查 逻辑 还 与 之 前 一 样 。 但 如 果 有 人 更 改 了 <input> 标签 上 的 min 和 max 值 ， 代 码 
会 通过 改变 检查 条 件 自动 进行 响应 。 这 段 代码 中 的 故障 点 比较 少 。 

但 是 ， 要 想得到 既 安 全 又 可 靠 的 代码 ， 必 须 牺 牲 一 些 速度 。 注 意 第 二 个 例子 中 增加 的 代码 
行 数 以 及 增加 的 代码 调用 数量 。 你 可 能 不 会 察觉 到 这 个 例子 在 速度 上 的 差异 ， 但 开始 将 这 
类 检查 添加 到 整个 应 用 程序 中 时 ， 你 会 看 到 明显 的 速度 下 降 。 这 上段 代码 更 加 安全 和 可 靠 ， 
但 用 户 可 能 会 对 结果 不 满 。 


5.1.2 ”避免 可 靠 代码 中 的 安全 漏洞 

就 如 安全 的 软件 不 会 自动 是 可 靠 的 ， 可 靠 的 软件 也 不 会 自动 是 安全 的 。 事实 上 你 可 能 会 发 
现 ， 软 件 越 可 靠 ， 其 不 安全 的 风险 越 高 。 问 题 在 于 可 靠 性 和 安全 性 的 不 同 目标 之 一 。 一 个 
可 靠 的 应 用 程序 通常 是 可 访问 、 可 使 用 和 可 预期 的 ， 这 会 导致 更 多 的 安全 问题 。 以 下 是 可 
靠 性 与 安全 性 有 不 同 目标 的 一 些 例子 。 


。 复杂 的 密码 会 让 软件 更 加 安全 , 但 这 意味 着 , 当 用 户 忘记 密码 时 , 软件 可 能 变 得 不 可 用 ， 
从 而 使 得 软件 不 可 靠 。 

。 确保 没 人 自 改 应 用 数据 的 检查 会 导致 当 发 现 自 改 时 软件 变 得 不 可 用 。 

。 对 安全 性 检查 的 误 判 会 让 应 用 程序 的 行为 不 可 预测 。 

。 管理 安全 性 设置 会 增加 应 用 程序 界面 的 复杂 度 并 令 其 可 用 性 降低 。 

。 由 于 安全 限制 (如 某 些 政 策 的 规定 ) 拒绝 对 所 需 资源 的 访问 会 降低 应 用 程序 的 可 访问 性 
并 使 其 变 得 不 可 预测 。 


可 靠 代 码 中 的 安全 漏洞 所 造成 的 后 果 可 能 是 非常 可 怕 的 。 在 一 份 由 
InfoWorld 最 近 列 出 的 10 个 最 极端 的 黑客 事件 清单 (http://www.infoworld. 
comyarticle/2933868/hacking/10-extreme-hacks-to-be-truly-paranoid-about.html) 
中 ， 医 疗 设备 的 事故 排 在 第 2 位 。 这 些 设备 被 测试 了 5~10 年 以 确保 它们 能 
在 任何 情况 下 持续 运作 。 但 是 ， 没 有 人 在 测试 期 间 对 软件 打 补 丁 〈 涉 及 额外 
的 测试 )。 此 外 ， 医 疗 设备 必须 易于 使 用 ， 所 以 ， 在 开发 过 程 中 就 丢弃 了 任 
何 像 全 面 安全 这 样 的 东西 。 因 此 ， 通 过 入 侵 某 人 的 医疗 设备 就 能 很 容易 地 杀 
死 他 。 在 所 有 有 严重 安全 问题 的 可 靠 软件 中 ， 医 疗 设备 荣 登 榜首 。 当 遭受 黑 
客 攻击 时 ， 它 们 也 有 幸 成 为 最 具 破 坏 性 的 软件 。 


















































































































































事实 上 ， 有 很 多 安全 性 与 可 靠 性 严重 对 立 的 情况 。 你 必须 平衡 两 者 ， 以 确保 应 用 数据 保持 
合理 的 安全 ， 且 应 用 程序 能 可 靠 地 运行 。 

以 上 一 节 的 示例 为 起 点 ， 你 会 看 到 范围 检查 如 何 阻止 用 户 输入 预期 范围 之 外 的 值 。 当 然 ， 
范围 检查 让 应 用 程序 更 安全 。 然 而 ， 很 重要 的 一 点 是 ， 要 考虑 配置 范围 检查 的 人 没 能 正确 
执行 任务 时 会 发 生 什 么 ， 此 时 用 户 不 能 输入 合法 的 值 。 这 个 应 用 仍然 是 安全 的 ， 但 已 变 得 
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不 可 靠 了 。 


在 某 些 情况 下 ， 设 计 者 可 能 不 想 要 这 种 限制 的 弟 在 影响 ， 并 移 除 范围 检查 以 使 应 用 程序 更 
可 靠 。 毕 竟 ， 如 果 软 件 的 目标 是 防止 核反应 推出 现 危 机 ， 但 软件 却 阻止 输入 能 让 反应 堆 免 
于 出 现 危 机 的 值 ， 那 软件 的 安全 性 就 不 再 重要 了 ， 因 为 没有 人 会 围绕 该 问题 进行 辩论 。 


处 理 这 种 情况 的 折 中 解决 方案 也 是 存在 的 ， 但 它 会 增加 软件 的 复杂 度 ， 并 因此 对 可 靠 性 造 
成 更 大 影响 。 此 外 ， 因 为 折 中 解决 方案 需要 增加 编码 ， 所 以 应 用 程序 的 速度 也 会 受到 影 
响 。 但 是 ， 在 日 常 操作 中 包含 各 种 类 型 的 安全 性 检查 并 允许 管理 员 重 载 以 便 在 紧急 时 刻 去 
除 检 查 ， 用 户 就 可 以 输入 正确 的 值 来 挽救 反应 堆 ， 但 软件 平时 不 会 允许 这 样 的 输入 。 

关键 是 你 通常 找到 的 是 只 解决 安全 性 或 只 解决 可 靠 性 难题 的 方案 。 只 关注 其 中 一 个 或 另 
个 通常 都 不 是 好 的 做 法 ， 因 为 黑客 (或 用 户 ) 会 让 你 在 某 些 方面 付出 代价 。 


5.1.3 ”聚焦 应 用 程序 的 功能 

让 应 用 程序 既 安 全 又 可 靠 会 让 开发 人 员 满 怀 喜 悦 ， 但 用 户 并 不 在 平 。 用 户 通 常 将 注意 力 放 
在 他 们 关心 的 任务 是 否 可 以 完成 。 用 户 的 任务 可 能 涉及 创建 一 份 报告 。( 在 现实 中 ， 报 告 
可 能 不 是 焦点 ， 焦 点 可 能 是 从 投资 者 那里 得 到 金钱 。 报告 只 是 帮助 用 户 达 成 这 一 目标 。) 
如 果 和 手打 报告 比 使 用 应 用 程序 更 简单 且 更 清晰 ， 那 用 户 就 会 手打 报告 。 用 户 并 不 在 意 使 用 
什么 工具 来 完成 任务 ， 这 就 是 为 什么 你 会 看 到 用 户 尝 试用 智能 手机 来 创造 复杂 的 输出 。 作 
为 一 名 开发 人 员 ， 你 可 以 悄悄 地 陶醉 于 包含 在 你 的 代码 中 的 奇妙 策略 ， 但 用 户 并 不 关心 
它 。 关 键 是 ， 用 户 不 会 到 你 面前 来 说 这 个 应 用 程序 是 不 可 靠 的 。 用 户 的 输入 通常 与 用 户 的 
任务 有 关 一 一 无 论 任务 是 什么 。 导 致 用 户 失 败 的 原因 是 否 是 你 开发 的 应 用 程序 在 某 些 重要 
方面 不 可 靠 ， 这 是 由 你 来 决定 的 。 

当 你 聚焦 于 应 用 程序 的 功能 时 ， 可 靠 性 和 安全 性 之 间 的 平衡 变 得 更 加 明显 。 这 不 是 简单 地 
使 任务 完成 的 事情 ， 而 是 让 任务 按 用 户 最 初 设想 的 方式 完成 。 在 当今 世界 ， 这 意味 着 要 做 
类 似 下 面 这 样 的 事情 。 

。 计数 键 ( 越 少 越 好 ) 

。 允许 应 用 程序 在 任何 平台 运行 

。 确保 应 用 程序 总 是 可 用 的 

。 将 与 任务 无 关 的 步骤 数 减 少 到 0 

。 使 问题 的 答案 明显 ， 或 完全 避免 问题 


5.2 开发 团队 协议 


朝 着 创建 一 个 可 靠 应 用 程序 的 目标 所 做 的 任何 努力 都 必须 考虑 整个 团队 。 开 发 团队 需要 从 
一 开始 就 具有 设计 和 构建 可 靠 应 用 的 意识 。 在 这 个 过 程 中 ， 团 队 还 需要 记 住 保持 平衡 。 如 
果 一 个 应 用 程序 因为 运行 太 慢 而 无 人 使 用 ， 那 将 它 做 得 既 可 靠 又 安全 也 没有 什么 意义 。 

团队 协议 会 涉及 各 种 问题 。 例 如 ， 在 1999 年 ， 火 星 气候 探测 者 号 (Mars Climate Orbiter) 
在 进入 火星 大 气 层 时 被 烧毁 ， 就 是 因为 一 组 团队 在 使 用 软件 时 采用 了 公制 单位 而 另 一 组 却 
采用 了 英制 单位 (http://www.wired.com/2010/11/1110mars-climate-observer-report/)。 这 里 的 
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问题 在 于 缺乏 沟通 ， 这 是 你 需要 为 成 功 的 应 用 开发 制定 的 协议 的 一 部 分 。 
为 了 给 公司 制定 合适 的 协议 ， 你 需要 以 某 些 方式 将 任务 分 解 。 开 发 应 用 程序 的 团队 必须 从 
以 下 三 个 不 同 的 级 别 考虑 可 靠 性 的 问题 。 





偶 


a 





行 
打 
使 
要 
应 
过 
虑 


M4 


As 








然 发 生 的 设计 或 执行 错误 

考虑 可 靠 性 问题 时 ， 大 部 分 人 会 考虑 导致 应 用 程序 以 偏离 开发 团队 最 初 的 设计 方式 运 
的 错误 。 应 用 程序 不 能 正确 地 执行 任务 。 但 是 ， 这 些 错误 还 可 能 导致 诸如 为 黑客 入 侵 
开 缺 口 或 不 能 提供 所 需 灵 活性 的 后 果 。 通 过 采用 开发 人 员 培 训 和 安全 开发 训练 ， 以 及 
用 专门 设计 用 来 定位 这 种 可 靠 性 问题 的 工具 ， 开 发 团队 可 以 解决 这 个 问题 。 

改 技术 

用 程序 在 你 完工 的 那天 就 变 得 过 时 了 。 事 实 上 ， 有 时 应 用 程序 在 开发 完成 之 前 就 已 经 
时 了 。 技 术 的 变更 不 利于 软件 ， 使 其 变 得 不 可 靠 。 以 下 两 种 级 别 的 更 改 是 你 必须 要 考 





























的 。 

面向 未 来 的 

为 了 创建 一 个 能 让 应 用 程序 保持 其 技术 优势 的 环境 ， 你 必须 令 其 面向 未 来 。 实 现 这 
一 目标 的 最 好 方式 是 ， 将 应 用 程序 做 成 是 由 很 多 可 交互 组 件 组 成 的 ， 但 它们 也 是 独 
立 的 实体 ， 这 让 你 可 以 升级 其 中 一 个 组 件 而 无 需 升级 整个 系统 。 这 是 微服 务 变 得 如 
此 受 欢 迎 的 原因 ， 但 你 也 可 以 用 一 体 化 设计 来 实践 模块 编码 策略 。 

黑客 的 改进 

黑客 会 进行 创新 并 将 他 们 的 工作 做 得 更 好 。 一 个 安全 性 或 可 靠 性 问题 在 你 刚 开始 项 
目 时 可 能 还 不 是 一 个 问题 ， 但 在 你 完成 整个 应 用 程序 之 前 可 能 就 变 成 一 个 问题 了 。 
在 黑客 指出 它们 之 前 ， 你 可 能 甚至 都 不 知道 有 问题 存在 。 解 决 这 一 问题 的 最 好 方式 
是 更 新 你 的 工具 和 技术 以 对 抗 黑 客 的 改进 。 














如 果 有 些 人 在 你 的 开发 团队 里 待 得 不 开心 或 带 着 寻找 软件 漏洞 的 目的 做 着 公司 的 某 项 工 


作 ， 那 他 很 可 能 会 给 你 造成 破坏 。 这 名 团队 成 员 其 至 可 能 引入 故障 或 后 门 程序 ， 以 便 在 


离 











职 之 后 利用 这 些 漏 洞 。 当 然 ， 你 不 想 要 和 营造 一 种 监视 的 气氛 ， 因 为 这 样 做 会 扼杀 创新 





且 会 造成 更 多 的 问题 。 但 是 ， 你 还 是 需要 确保 所 有 的 管理 人 员 真 的 在 管理 开发 团队 。 





团队 成 员 之 间 的 沟通 是 很 重要 的 ， 但 确保 沟通 没有 被 误解 则 更 加 重要 。 想 当然 的 假设 制造 








了 各 种 问题 ， 而 人 们 特别 擅长 用 假设 来 填补 信息 洱 沟 。 当 然 ， 一 名 团队 成 员 的 假设 可 能 不 
是 由 同一 个 团队 的 其 他 成 员 来 执行 。 开 发 团队 所 需 的 沟通 应 包括 以 下 这 些 最 佳 实践 【你 
可 以 在 Cyber Security and Information Systems Information Analysis Center 的 网 站 (https:// 
sw.csiac.org/databases/url/key/2) 上 找到 更 多 最 佳 实践 、 工 具 和 资源 ] 。 


可 靠 性 和 安全 性 培训 



































除非 困 队 成 员 说 相同 的 语言 且 对 可 靠 性 概念 的 理解 在 同一 水 平 上 ， 否 则 他 们 无 法 沟通 。 
达到 这 一 目标 的 唯一 方式 是 ， 确 保 团队 成 员 都 接受 了 适当 的 培训 。 在 创建 一 个 培训 计划 
时 ， 请 确保 培训 是 一 致 的 ， 无 论 你 使 用 的 是 外 部 还 是 内 部 的 培训 师 。 

















可 靠 性 要 求 
开发 一 个 应 用 程序 但 没有 首先 定义 你 想 要 什么 ， 这 就 好 比 在 没有 蓝图 的 情况 下 建造 房 
子 。 就 如 同 手 里 没有 蓝图 时 你 不 会 开始 为 造 一 个 房子 而 挖 地 基 一 样 ， 在 没有 首先 明确 可 
靠 性 和 安全 性 在 应 用 程序 整体 运行 中 的 角色 之 前 ， 你 不 会 开始 任何 编码 工作 。 确 保 你 制 
定 的 任何 定义 都 包含 针对 每 个 开发 阶段 的 具体 指标 和 目标 。 这 些 定 义 还 应 该 概述 安全 性 
与 可 靠 性 检查 的 使 用 、 代 码 审 计 与 测试 。 
可 靠 的 设计 
正如 在 开始 项 目 时 要 识别 应 用 程序 会 面临 的 安全 威胁 一 样 ， 你 还 必须 识别 可 靠 性 问题 并 
提出 解决 方法 。 设 计 过 程 必 须 包 含 如 何 处 理 可 靠 性 问题 的 具体 细节 。 虽 然 很 多 公司 意识 
到 需要 有 安全 性 专家 来 帮忙 解决 安全 性 问题 ， 但 很 少 有 公司 意识 到 存在 类 似 功 能 的 可 靠 
性 专家 ， 比 如 可 靠 性 咨询 服务 (http://www.reliasoft.com/consulting/) 


可 靠 的 编码 
编码 时 必须 将 安全 性 和 可 靠 性 牢记 在 心 。 除 非 将 所 学 和 所 设计 的 东西 投入 实践 ， 否 则 你 
做 再 多 的 展示 也 没有 用 。 


全 源 代 码 处 理 
为 了 处 理 恶意 破坏 等 威胁 ， 公 司 必 须 进 行 安全 源 代码 处 理 。 这 意味 着 只 有 接受 过 适当 培 
训 和 受 认证 的 人 才能 看 到 源 代码 。 此 外 ， 这 还 意味 着 你 要 执行 设计 与 代码 的 检查 ， 以 确 
保 应 用 程序 还 忠实 于 最 初 的 设计 目标 。 


可 靠 性 测试 
测试 代码 以 确保 其 真正 达到 可 靠 性 目标 是 很 重要 的 ， 这 一 目标 是 应 用 程序 需求 与 设计 方 
案 的 一 部 分 。 可 靠 性 测试 会 包含 各 种 问题 ， 比 如 当 有 人 负载 时 或 失去 对 某 一 资源 的 访问 时 
应 用 程序 会 如 何 响应 。 这 个 任务 是 测试 应 用 程序 的 故障 点 ， 并 验证 其 是 否 能 成 功 地 处 理 
每 个 问题 。 
































盲 测 试 〈 让 没有 使 用 经 验 的 组 外 人 员 尝 试 使 用 该 应 用 程序 ) 能 够 得 到 一 些 
有 趣 和 有 用 的 、 关 于 应 用 程序 潜在 安全 漏洞 的 信息 。 这 个 测试 常常 能 披露 
出 组 合 键 使 用 的 问题 ， 黑 客 会 利用 其 入 侵 应 用 程序 。 这 个 测试 还 能 展示 出 
应 用 程序 的 功能 不 能 自 解释 的 那些 区 域 ， 以 及 需要 返工 、 额 外 的 文档 或 培 
训 的 地 方 。 






































可 靠 性 和 安全 性 文档 

用 文档 记录 需求 、 设 计 、 编 码 技巧 、 测 试 技巧 和 其 他 用 于 确保 应 用 程序 可 靠 量 安全 的 过 
程 是 很 重要 的 。 该 文档 应 该 说 明 你 是 如 何 找到 平衡 点 的 ， 并 解释 你 如 何 将 它们 作为 应 用 
程序 要 求 和 设计 的 一 部 分 进行 处 理 。 
可 靠 性 和 安全 性 准备 

在 发 布 应 用 程序 之 前 ， 开 发 团队 需要 确保 没有 新 的 威胁 出 现在 应 用 程序 必须 处 理 的 场景 
中 。 可 靠 性 和 安全 性 都 会 涉及 风险 ， 而 这 个 阶段 决定 了 新 的 威胁 所 带 来 的 风险 。 作 为 软 
件 更 新 的 一 部 分 ， 处 理 低 风 险 的 威胁 是 可 行 的 ， 不 需要 影响 应 用 程序 的 发 布 。 
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可 靠 性 和 安全 性 响应 
在 发 布 应 用 程序 之 后 ， 开 发 团队 需要 及 时 地 对 任何 新 的 可 靠 性 和 安全 性 威胁 作出 响应 。 
很 重要 的 一 点 是 ， 要 理解 开发 团队 以 外 的 来 源 可 能 会 报告 这 些 问 题 ， 且 开发 团队 被 期 户 
能 提供 快速 的 响应 。 

完整 性 检查 

确保 应 用 程序 按 预期 方式 持续 运行 就 意味 着 要 采用 某 些 签名 技术 〈 以 确保 设 人 可 以 修改 
代码 ) ， 从 而 让 代码 安全 。 此 外 ， 开 发 团队 应 该 持续 测试 代码 以 应 对 新 的 威胁 ， 并 验证 
应 用 程序 是 以 安全 的 方式 在 管理 数据 。 其 思想 是 要 持续 查找 潜在 的 问题 ， 即 使 你 肯定 没 
有 问题 存在 。 墨 客 很 希望 看 到 你 的 团队 不 爱 检测 新 的 威胁 ， 直 到 一 切 都 变 得 太 迟 了 。 


安全 性 与 可 靠 性 研究 
为 特定 的 人 员 分配 任 务 ， 让 其 在 那些 新 威胁 出 现时 找到 它们 并 提出 处 理 方法 ， 这 是 很 重 
要 的 。 对 应 用 程序 进行 测试 是 好 的 ， 但 知道 如 何 测 试 其 是 否 能 应 对 最 新 的 威胁 是 确保 测 
试 有 效 的 唯一 方式 。 







































































5.3 ”创建 经 验 教训 的 反馈 回路 


可 靠 性 基于 随时 间 推 移 的 事件 的 统计 分 析 。 时 间 过 得 越久 且 记 录 的 事件 越 多 ， 预 测 就 
会 越 准 确 。 故 障 事件 间 的 平均 时 间 被 称 为 平均 无 故障 时 间 (mean time between failures， 
MTBF)。 大 部 分 软件 代码 似乎 并 没有 从 这 个 角度 探讨 该 主题 ， 但 像 任何 其 他 东西 一 样 ， 软 
件 有 故障 模式 ， 且 可 以 通过 分 析 这 些 模式 创建 出 一 张 能 让 你 预期 软件 在 什么 时 候 会 出 故障 
的 蓝图 。 当 然 ， 像 任何 统计 一 样 ， 这 不 可 能 确定 精确 的 时 间 点 ， 而 只 能 确定 在 特定 环境 下 
特定 应 用 程序 活动 的 一 般 过 程 。 











有 些 人 并 不 认为 MTBF 是 衡量 软件 可 靠 性 的 正确 方法 ， 因 为 他 们 觉得 MTBF 
只 是 指出 下 一 次 软件 bug、 环 境 问题 或 其 他 因素 导致 软件 故障 的 时 间 。 记 
住 ，MTBF 是 基于 某 一 特定 环境 的 。 因 为 软件 要 在 不 同 的 公司 中 运行， 而 不 


























同 的 公司 很 少 有 完全 相同 的 运行 环境 ， 所 以 试图 创建 出 一 个 能 在 各 家 公司 工 
作 的 应 用 程序 的 MTBF 是 不 可 行 的 。 针 对 某 一 公司 的 某 一 应 用 程序 的 MTBF 
是 可 以 的 ， 因 为 该 公司 的 环境 不 太 可 能 会 发 生 巨 大 的 变化 。 当 环境 变化 时 ， 
MTBF 的 值 就 不 再 有 效 了 。 




















一 个 应 用 程序 的 MTBF 越 高 ， 支 持 它 所 花费 的 时 间 就 越 少 ， 维 护 成 本 也 越 低 。 此 外 ， 高 
MTBF 值 也 预示 着 由 软件 故障 所 导致 的 数据 泄露 也 会 更 少 。 应 用 程序 的 故障 不 只 是 因为 
软件 bug 才 会 出 现 ， 还 会 由 于 错误 的 用 法 、 环 境 问 题 (比如 内 存 不 够 )、 不 可 重 现 的 原 
因 (比如 字 宙 射线 导致 的 能 量 峰 值 ) 以 及 其 他 原因 而 出 现 。 因 为 不 可 能 管理 所 有 这 些 故障 
原因 ， 所 以 软件 从 来 不 会 是 100% 可 靠 的 。 在 某 种 程度 上 ， 即 使 是 最 好 的 软件 也 会 遇 到 
故障 。 












































宇宙 射线 真 的 会 影响 计算 机 。 事 实 上 ， 计 算 机 存储 所 在 的 纬度 越 高 ， 受 到 的 
影响 就 会 越 大 。 蕊 片 中 晶体 管 的 大 小 也 会 影响 软件 错误 的 发 生 率 。 你 可 以 在 
文章 “Cosmic rays and computers” (http://www.nature.com/news/1998/980730/ 





full/news980730-7.html)、“Effect of cosmic rays on computer memories” 


(http:/www.ncbi.nlm.nih.gov/pubmed/17820742) 和 “Should Every Computer 
Chip Have a Cosmic Ray Detector?” (http://www.newscientist.com/blog/ 
technology/2008/03/do-we-need-cosmic-ray-alerts-for.html) 中 发 现 更 多 关于 这 
一 有 趣 影响 的 信息 。 这 些 信息 很 有 趣 ， 且 可 能 最 终 解 释 了 一 些 你 曾经 看 到 过 

















的 不 可 重 现 的 错误 。 








对 故障 原因 的 一 个 反馈 回路 能 帮 你 提高 某 一 公司 中 的 MTBF。 通 过 测试 故障 原因 ， 你 可 以 
制订 一 个 计划 来 提升 MTBF， 以 降低 可 能 的 成 本 。 以 下 的 事项 在 分 析 软 件 故 障 原因 时 进行 











考虑 。 
。 质量 


当 软 件 质量 提升 时 ，MTBF 就 会 变 高 。 查 找 和 移 除 bug， 改 进 UI 以 减少 用 户 犯错 ， 添 





加 检查 以 确保 所 需 资源 在 使 用 之 前 是 可 用 的 ， 这 些 都 可 以 提升 软件 的 质量 。 


。 故障 点 





减少 应 用 程序 故障 点 的 数量 会 提升 MTBF。 减 少 故障 点 的 最 好 方式 是 通过 精简 程序 和 提 
升 它们 的 效率 来 让 应 用 程序 变 得 简单 。 当 然 ， 你 还 可 以 在 可 能 的 时 候 做 增加 元 余 这 样 的 











能 性 。 

。 培训 
更 好 的 培训 会 减少 操作 失误 并 提升 MTBF。 现 在 有 一 种 “培训 的 回报 在 减少 ” 
点 ， 而 如 今 的 大 部 分 用 户 对 于 他 们 工作 要 用 的 软件 都 没有 接受 足够 的 培训 。 此 外 ， 




















事情 。 例 如 ， 拥 有 两 份 相同 的 数据 源 可 以 降低 一 份 数据 源 丢 失 后 应 用 程序 出 现 故 障 的 可 


的 观 
培训 


支持 人 们 更 准确 地 处 理 故 障 且 让 开发 人 员 发 现 故 障 的 真正 原因 ， 这 将 有 助 于 改进 反馈 








过 程 。 














创建 完整 的 故障 及 其 原因 列表 是 开始 理解 应 用 程序 动态 性 的 最 好 方式 。 随 着 对 某 一 应 用 程 
序 基础 知识 的 增加 ， 有 可 能 发 现 一 些 预 测 模式 ， 并 且 能 使 用 这 些 模式 来 确定 在 哪里 花费 时 
间 和 资源 来 让 进行 修正 。 当 然 ， 有 些 故 障 原因 不 可 能 得 到 解决 。 是 的 ， 你 可 以 屏蔽 所 有 硬 











件 以 摆脱 讨厌 的 宇宙 射线 ， 但 公司 花费 这 种 钱 的 可 能 性 是 极 低 的 〈 并 且 回报 率 很 小 ) 。 


5.4 考虑 成 套 解决 方案 的 问题 


如 前 面 的 章节 所 提 到 的 ， 如 今 大 多 数 应 用 程序 依靠 成 套 的 解决 方案 来 执行 普通 的 任务 。 想 





要 完全 从 头 开始 搭建 一 个 应 用 程序 要 耗费 过 多 的 时 间 和 高 昂 的 费用 。 设 有 理由 重复 另 


| 人 做 


过 的 工作 。 但 是 ， 使 用 成 套 解 决 方案 会 影响 应 用 程序 的 可 靠 性 。 你 依靠 别人 写 的 代码 来 让 





自己 的 应 用 程序 工作 ， 所 以 那 部 分 代码 也 是 可 靠 性 评估 的 一 部 分 。 接 下 来 会 探讨 你 如 
成 套 解决 方案 时 需要 考虑 的 一 些 问题 。 


E 使 用 
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5.4.1 处理 外 部 库 


外 部 库 带 来 了 许多 有 趣 的 可 靠 性 问题 。 最 重要 的 问题 是 应 用 程序 通常 会 在 每 一 次 启动 运行 


时 下 载 库 的 一 份 副本 。 如 果 你 让 应 用 程序 持续 运行 ， 这 一 过 程 不 会 





经 常 发生， 








但 大 部 分 基 


5 


于 Web 的 应 用 程序 是 在 客户 端 系统 中 运行 ， 这 意味 着 客户 端 需要 在 每 一 次 启动 应 用 程序 时 
去 下 载 库 。 由 于 库 的 下 载 ， 速 度 成 了 一 个 问题 。 但 是 ， 如 果 某 些 因 素 阻 止 了 客户 端 成 功 下 








载 库 代 码 ， 应 用 程序 甚至 可 能 无 法 启动 。 例 如 ， 考 虑 一 下 使 用 jQuery UI 来 创建 一 个 如 


5-2 所 示 的 折 琶 效果 。 
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Using the Accordion Widget 
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5-2: 就 算是 一 个 简单 的 jQuery UI 的 例子 也 要 求 下 载 代码 





当 这 个 例子 所 依赖 的 库 文件 由 于 某 些 原 因 变 得 不 可 访问 时 ， 这 个 例子 甚至 无 法 启动 。 接 下 
来 的 代码 (可 在 文件 Accordian.html 中 找到 ) 会 出 现在 HTML 的 头 部 以 创建 所 需 的 连接 。 








<head> 
<script 
src="https://code.jquery.com/jquery-latest.js"> 
</script> 
<script 
src="https://code.jquery.com/ui/1.9.2/jquery-ui.js"> 
</script> 
<Link 
rel="stylesheet" 





href="https://code.jquery.com/ui/1.9.2/themes/base/jquery-ui.css" /> 


如 果 该 例子 三 个 文件 中 的 任何 一 个 缺失 了 ， 应 用 程序 都 不 能 运行 。 


这 个 例子 还 


展示 了 选择 




















库 的 两 种 方法 。 注 意 ，jQuery 库 依 赖 最 新 的 版 本 ， 这 意味 着 你 能 自动 获得 bug 修复 与 其 他 
更 新 。 但 是 jQuery UI 库 (及 其 相关 的 CSS 文件 ) 都 依赖 某 个 特定 的 版 本 。 在 这 种 情况 下 
你 不 会 得 到 更 新 ， 但 如 果 已 经 加 入 了 临时 修补 的 代码 ， 那 么 或 许可 以 修复 造成 应 用 程序 崩 
溃 的 bug。 


提升 使 用 外 部 库 可 靠 性 的 最 好 方式 之 一 就 是 将 库 下 载 到 本 地 磁盘 并 使 用 这 一 副本 ， 而 不 是 
直接 使 用 供应 商 网 站 上 的 副本 。 这 个 策略 能 确保 你 一 直 使 用 相同 的 版 本 并 降低 库 变 得 不 可 
用 的 概率 。 当 然 ， 你 需要 提供 本 地 磁盘 空间 以 保存 这 些 库 ， 但 与 所 获得 的 稳定 性 相 比 ， 增 
加 的 本 地 资源 开销 的 代价 很 小 。 


与 所 有 其 他 事情 一 样 ， 使 用 外 部 库 的 本 地 副本 也 有 代价 。 最 重要 的 一 个 代价 是 缺少 升级 。 
大 部 分 供应 商会 提供 相对 频繁 的 升级 ， 包 括 bug 修复 、 可 靠 性 提升 和 速度 提升 等 。 当 然 ， 
库 通常 还 会 包含 新 的 特性 。 与 新 特性 相对 的 是 那些 你 可 能 需要 用 来 让 应 用 程序 运行 的 旧 特 
性 。 为 了 获得 可 靠 性 ， 你 需要 放弃 某 些 潜在 的 安全 性 提升 以 及 其 他 你 可 能 真正 想 要 在 应 用 
程序 中 使 用 的 更 新 。 


一 个 折 中 的 方案 是 将 库 代 码 下 载 到 本 地 ， 持 续 跟 踪 库 的 更 新 ， 并 为 应 用 程序 安排 更 新 的 时 
间 ， 以 便 让 你 所 使 用 的 主要 库 与 所 需 的 安全 及 特性 更 新 保持 一 致 。 这 就 意味 着 要 按 你 的 时 
刻 表 执行 更 新 ， 而 不 是 按 供应 商 的 时 刻 表 。 虽 然 这 一 方案 看 起 来 是 一 个 完美 的 解决 方案 ， 
但 其 实 并 不 是 。 黑 客 常常 依靠 零 日 (zero-day) 攻击 对 最 多 数量 的 应 用 程序 造成 最 大 的 伤 
害 。 因 为 你 的 应 用 程序 不 会 自动 更 新 ， 所 以 你 还 要 面 对 发 生 灾难 性 的 零 日 攻击 的 可 能 性 。 


5.4.2 ”处 理 外 部 API 


外 部 API 提供 了 使 用 外 部 代码 访问 数据 及 其 他 资源 的 方法 。API 通常 是 你 拿 来 实例 化 为 对 

象 并 用 于 发 起 调用 的 类 的 集合 。 这 些 代码 并 不 在 客户 端 系 统 中 和 运行， 而 是 在 服务 器 上 以 一 

种 进程 外 (out-of-process，OOP) 的 远程 过 程 调用 (remote procedure call，RPC) 方式 执行 

的 。 当 客户 端 对 服务 器 发 起 请 求 时 ， 一 个 客户 端 /服务 器 的 请 求 /响应 循环 会 发 生 。 创 建 一 

个 与 API 的 连接 跟 创建 一 个 与 库 的 连接 非常 类 似 ， 只 是 你 通常 必须 提供 某 种 类 型 的 密 钼 来 

获得 访问 ， 如 GoogleAPLhtml 文件 中 所 示 的 那样 (可 在 第 7 章 中 看 到 该 例子 的 更 多 细节 )。 
<head> 


<script type="text/javascript" 
src="https://maps.googleapis.com/maps/api/js?key=Your Key Here&sensor=false"> 


这 个 查询 要 求 客 户 端 构建 一 个 请 求 并 发 送 给 服务 器 。 在 使 用 Google API 时 ， 你 必须 提供 界 
面 经 纬度 等 数据 项 ， 以 及 你 想 要 的 地 图 类 型 。API 会 直接 将 数据 写 入 到 请 求 数据 中 的 应 用 
程序 位 置 上 ， 如 以 下 这 段 代码 所 示 。 


// 这 个 函数 会 在 屏幕 上 显示 地 医 
function GetMap() 










































































































































































// 构建 发 送 给 Google 的 参数 列表 
var MapOptions = 
{ 
center: new google.maps.LatLng( 
Latitude.spinner("value"), 
Longitude.spinner("value")), 
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zoom: 8， 
mapTypeId: googLe.maps.MapTypeId.ROADMAP 
} 


// 向 Google 提 供 地 图 要 在 屏幕 上 展示 的 位 置 以 及 地 图 的 参数 项 
var map = new google.maps.Map( 
document .getELementById("MapCanvas'" ) ， 
MapOptions ) ; 
}; 


该 代码 的 调用 结果 就 是 一 幅 地 图 会 展示 在 客户 端的 画布 上 。 图 5-3 展示 了 该 应 用 的 输出 的 
一 个 典型 例子 。 





Google API Example x 
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图 5-3: Google API 直接 在 客户 端 画 布 上 画 出 地 图 


使 用 外 部 API 或 许可 以 使 得 在 用 别人 代码 时 有 较 少 的 安全 问题 和 速度 问题 (取决 于 请 求 数 
据 是 否 比 下 载 代 码 快 )。 但 是 从 可 靠 性 的 角度 看 ， 外 部 API 也 有 各 种 风险 。 任 何 连接 中 断 
都 意味 着 应 用 程序 不 能 工作 。 当 然 ， 对 于 开发 人 员 来 说 ， 创 建 补 偿 这 一 问题 的 代码 并 向 用 
户 展示 一 条 消息 是 相对 容易 的 。 比 较 不 容易 解决 的 是 连接 速度 慢 、 数 据 处 理 以 及 其 他 能 反 
映 出 连接 状况 的 问题 ， 或 者 是 正在 工作 的 黑客 。 在 这 种 情况 下 ， 用 户 的 挫败 感 会 成 为 一 个 
问题 ， 因 为 用 户 会 为 了 获得 某 些 应 用 程序 响应 而 提供 一 些 错误 的 输入 ， 从 而 让 情况 变 得 更 
加 糟糕 。 








解决 这 种 情况 下 的 可 靠 性 问题 的 一 个 方法 是 为 调用 计时 。 当 应 用 程序 检测 到 调用 花费 的 时 间 
比 平 时 长 ， 它 就 有 可 能 给 出 一 些 反馈 ， 比 如 告诉 用 户 连 接 比较 慢 、 联 系 管理 员 或 以 某 些 其 他 
方式 对 问题 作出 反应 。 关 键 是 要 确保 你 能 跟踪 每 次 调用 花费 多 长 时 间 并 恰当 地 采取 行动 。 


5.4.3 ”使 用 框架 


框架 表现 出 的 可 靠 性 介 于 库 和 API 之 间 。 大 多 数 情况 下 ， 框 架 是 压缩 的 代码 。 一 个 最 常 
使 用 的 框架 是 MooTools (http://mootools.net/)。 但 是 还 有 许多 其 他 的 框架 可 用 ， 你 需要 找 
到 适合 自己 需求 的 那 一 个 。 在 大 部 分 情况 下 ， 框 架 能 在 服务 器 、 客 户 端 或 两 者 结合 的 环境 
中 和 运行。 依据 自 己 使 用 框架 的 方式 ， 你 会 发 现 某 些 可 靠 性 问题 ， 这 些 问 题 同样 出 现在 使 用 
库 、API 或 两 者 的 组 合 时 。 


























区 别 框架 和 库 


虽然 框架 [比如 Dojo (https://dojotoolkit.org/)] 和 库 (比如 jQuery) 看 起 来 很 相似 ， 
并 且 你 以 大 致 相同 的 方式 使 用 它们 ， 但 Dojo 是 一 个 框架 而 jQuery 是 一 个 库 。 从 安全 
性 、 可 靠 性 和 速度 的 角度 来 看 ， 这 两 者 都 是 不 同 的 。 


库 是 纯粹 的 代码 ， 可 以 下 载 下 来 作为 应 用 程序 的 一 部 分 运行 。 你 可 以 直接 调用 闻 数 ， 
且 这 些 函 数 的 源码 有 了 时候 是 可 以 直接 获得 的 ， 这样 你 就 能 更 改 隙 数 的 行为 。 


框架 提供 了 一 种 与 行为 交互 的 方式 ， 这 总 味 着 某 些 任务 对 于 开发 人 员 是 不 可 见 的 一 一 
开发 人 员 请 求 框架 执行 任务 ， 而 框架 决定 如 何 完成 它 。 代 码 仍然 可 以 从 供应 商 下 载 且 
仍然 会 成 为 应 用 程序 的 一 部 分 ， 但 底层 的 技术 是 不 一 样 的 。 有 些 人 将 框架 定义 为 经 过 
包装 的 库 ， 它 提供 结构 和 代码 。 











MooTools 等 产品 有 趣 的 地 方 在 于 你 可 以 执行 许多 与 使 用 库 相 同 的 任务 。 例 如 ， 你 可 以 用 
MooTools 创建 另 一 个 版 本 的 折 辣 示例 。 下 面 的 代码 很 简单 ， 但 指出 了 要 点 。 


<!DOCTYPE htmL> 





<html> 
<head> 
<title>MooTools Accordion Demo</title> 
<script src="MooTools-More-1.5.1.js"></script> 


<style> 
.toggler 
{ 


color: #222; 
margin: 0; 
padding: 2px Spx; 
background: #eee; 


border-bottom: 1px solid #ddd; 
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border-right: 1px solid #ddd; 


border-top: 1px solid #f5f5f5; 
border-Left: 1px solid #f5f5f5; 


} 
</style> 


<script type="text/javascript"> 
window.addEvent('domready', function() 


{ 
var accordion = new Fx.Accordion('h3.atStart', 'div.atStart', 
{ 
opacity: false, 
onActive: function(toggler, element) 
{ 
toggler .setStyle('color', '#ff3300'); 
}， 
onBackground: function(toggler, element) 
{ 
toggler .setStyle('color', '#222'); 
} 
}, $('accordion')); 
}); 
</script> 
<body> 


<h2>MooTools Accordion Demo</h2> 
<div id="accordion"> 


<h3 class="toggler atStart">Section 1</h3> 
<div class="element atStart"> 

<p>Section 1 Content</p> 
</div> 


<h3 class="toggler atStart">Section 2</h3> 
<div class="element atStart"> 

<p>Section 2 Content</p> 
</div> 


<h3 class="toggler atStart">Section 3</h3> 
<div class="element atStart"> 
<p>Section 3 Content</p> 
</div> 
</div> 


</body> 
</html> 





你 可 以 从 网 页 http://mootools.net/more/builder 上 获得 文件 MooTools-More-1.5.1.js。 请 确保 
你 包含 了 核心 库 。Google 在 网 页 https://developers.google.com/speed/libraries/ 上 提供 了 一 个 

















代码 库 托管 


网 站 ,但 它 不 包含 额外 的 功能 ， 比 如 Fx.Accordion。 


该 框架 要 求 你 设置 一 系列 标题 和 分 割 符 以 包含 折合 的 内 容 ， 如 例子 中 的 HTML 部 分 所 示 。 
当 被 选择 或 未 被 选择 时 这 些 元 素 项 如 何 出 现 取决 于 你 设置 的 CSS。 该 脚本 定义 了 两 个 事 
件 : onActive ( 当 该 项 被 选择 时 ) 和 onBackground ( 当 该 项 未 被 选择 时 )。 在 这 个 例子 中 ， 
MooTools 表现 得 非常 像 一 个 库 ， 你 可 以 看 到 如 图 5-4 所 示 的 输出 。 
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MooTools Accordion Demo 


Section 1 
Section 1 Content 


Section 2 
Section 3 











图 5-4: MooTools 是 一 个 提供 了 库 和 API 功能 的 框架 


5.4.4 

















调用 微服 务 


在 许多 方面 ， 一 个 微服 务 就 是 一 个 细 粒 度 的 API。 使 用 较 少 的 代码 就 有 可 能 依靠 任何 所 需 


的 资源 去 执行 给 定 的 任务 ， 微 服务 的 这 一 理念 是 很 有 意义 的 。 从 可 靠 性 的 角度 看 ， 由 于 微 
服务 的 工作 方式 ， 你 所 知道 的 使 用 API 的 很 多 问题 也 会 出 现在 微服 务 上 。 例 如 ， 调 用 某 一 
微服 务 可 能 会 花费 比 预期 长 的 时 间 ， 从 而 引起 用 户 的 挫败 感 。 解 决 这 一 问题 的 方法 是 提供 
应 用 程序 的 超时 机 制 。 但 是 ， 就 微服 务 而 言 ， 你 通常 可 尝试 对 可 用 的 备 选 源 发 起 调用 。 


务 在 某 些 方面 还 是 与 API 不 同 的 ， 因 为 前 者 比较 小 且 更 加 可 定制 化 。 为 此 ， 以 


但 是 ， 微 服 
下 列 出 了 你 











全 使 用 微服 务 时 需要 苍 虑 的 一 些 可 靠 性 问题 。 








。 使 用 更 多 不 同 源 的 微服 务 会 增加 连接 失败 的 可 能 性 并 降低 应 用 程序 的 可 靠 性 。 
。 选择 能 真正 优化 实现 特定 需求 所 需 的 服务 的 微服 务 ， 这 可 以 提升 应 用 程序 的 可 靠 性 ， 因 





为 这 会 降低 出 现 重大 错误 的 风险 。 
。 依靠 一 致 的 接口 来 进行 微服 务 调 用 会 减少 汶 在 的 代码 错误 ， 增 强 应 用 程序 的 可 靠 性 。 
。 拥有 多 个 提供 相同 服务 的 微服 务 源 会 减少 单个 故障 点 的 数量 ， 提 高 应 用 程序 的 可 靠 性 。 


。 使 用 小 型 的 月 
































以 这 种 情况 下 其 可 靠 性 较 高 。 





R 务 意味 着 单个 服务 的 丢失 不 会 让 所 有 服务 都 不 可 用 ， 但 使 用 API 就 会 ， 所 
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第 6 章 





包含 库 


很 难 找到 一 个 不 依赖 库 的 Web 应 用 程序 ， 即 使 能 找到 ， 那 也 不 是 很 重要 的 应 用 程序 。 使 用 
库 是 不 重新 定义 轮子 的 典型 。 事 实 上 ， 与 轮子 类 似 ， 库 有 各 种 不 同 的 形状 、 大 小 和 颜色 。 
是 的 ， 人 可 用 于 装饰 网 站 的 主题 样式 的 库 时 ， 甚 至 颜色 也 会 开始 起 作用 。 








因此 ， 你 很 可 能 已 经 在 使 用 库 方面 有 很 多 积累 。 事 实 上 ， 本 书 前 面 章 
库 ， 识 是 办 为 











市 的 许多 例子 都 依赖 


本 章 不 会 试图 向 你 灌输 使 用 库 的 价值 ， 你 应 该 已 经 明白 了 其 中 的 价值 。 但 是 ， 你 可 能 没有 
考虑 过 在 应 用 程序 中 使 用 别人 代码 的 各 种 后 果 。 使 用 库 总 是 有 一 些 后 果 的 。 我 们 的 目标 是 


























安全 地 使 用 库 ， 从 而 可 以 获得 使 用 别人 代码 的 所 有 好 处 ， 同 时 不 会 在 





自己 的 应 用 程序 中 制 





造 任何 重大 的 安全 漏洞 。( 请 放心 ， 你 肯定 会 制造 某 些 安全 漏洞 ， 这 不 可 能 避免 。) 





获取 最 佳 的 库 运 行 速度 


你 可 能 发 现 某 些 网 站 告诉 你 完全 不 要 使 用 库 ， 因 为 它们 会 导致 速度 等 方面 的 问题 ( 例 


如 ， 参 阅 http:Wwww.giftofspeed.com/dont-use-javascript-libraries/) 。 事实 是 ， 库 确实 会 
抱 慢 网 站 ,特别 是 当 你 没有 明智 地 使 用 它们 时 。 速 度 问 题 足 以 严重 到 使 得 用 户 点 击 跳 
转 到 下 一 个 网 站 ， 这 意味 着 你 不 能 为 访问 网 站 的 用 户 提供 服务 或 其 他 资源 。 


本 书 主要 使 用 库 的 未 压缩 版 本 ， 以 方便 你 使 用 例子 ， 并 且 更 轻松 地 执行 任务 ， 比 如 使 
用 调试 器 检查 应 用 程序 。 但 是 从 速度 的 角度 来 说 ， 你 通常 需要 使 用 库 的 压缩 版 本 。 压 
缩 版 本 包含 相同 的 代码 ， 但 它 加 载 得 更 快 ， 并 且 有 时 还 能 加 快 调用 速度 。 


还 有 一 点 很 重要 ， 要 认识 到 你 不 会 使 用 库 中 的 所 有 代码 。jQuery UI (http://jqueryui. 
ee 等 很 多 库 提 供 了 一 个 构建 器 ， 让 你 可 以 创建 个 性 化 版 本 的 库 。 在 明确 

你 会 使 用 库 中 的 哪些 部 分 之 后 ， 使 用 构建 器 生成 只 包含 那些 部 分 的 版 本 。 这 个 库 会 加 
载 得 更 快 ， 且 能 减少 库 的 攻击 面 ， 这 意味 着 安全 性 的 提升 。 
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6.1 考虑 库 的 使 用 


使 用 库 的 方式 会 直接 影响 安全 的 程度 ， 至 少 在 某 种 程度 上 是 这 样 的 。 例 如 ， 比 起 使 用 库 格 
式 化 页 面 ， 直 接 使 用 自己 的 JavaScript 代码 介入 库 的 操作 会 带 来 更 多 部 在 的 安全 漏洞 。 当 
然 ， 库 的 任何 用 法 都 会 带 来 潜在 的 安全 漏洞 ， 这 会 消耗 公司 的 时 间 、 精 力 与 资源 。 接 下 来 
将 探讨 你 可 能 会 如 何 使 用 库 来 执行 各 种 任务 ， 并 萎 虑 哪 种 形式 的 用 法 会 造成 某 种 类 型 的 安 
全 漏洞 。 
































研究 本 章 所 描述 示例 的 最 好 方式 是 使 用 可 下 载 的 代码 ， 而 不 是 手动 键入 这 
些 代码 。 使 用 下 载 的 代码 可 减少 潜在 的 错误 。 你 可 以 在 下 载 代码 的 \S4WD\ 
Chapter06 目录 下 找到 本 章 的 例子 。 











6.1.1 用 库 增 强 CSS 


CSS 用 于 格式 化 页 面 内 容 。 基 于 CSS 当前 的 状况 ， 你 可 以 惊奇 地 发 现 可 添加 到 网 站 中 的 各 
种 活力 。Web 开发 人 员 使 用 CSS 来 让 枯燥 的 页 面 变 得 出 彩 。 当 然 ，CSS 也 有 普通 的 用 法 。 
例如 ， 想 象 一 下 ， 在 不 使 用 CSS 对 内 容 进 行 格式 化 的 情况 下 ， 尝 试 阅读 有 多 列 布局 的 文 
字 。 你 最 终 得 到 的 是 一 个 混乱 的 结果 。 单 纯 使 用 HTML 标签 格式 化 内 容 会 使 页 面 在 当今 可 
能 使 用 的 各 种 设备 上 几乎 不 可 用 。 

只 使 用 CSS 就 可 能 创造 出 精彩 的 页 面 。 但 是 ， 很 重要 的 是 要 认识 到 ， 就 算是 最 优秀 的 Web 
开发 人 员 也 没有 时 间 去 手写 所 有 的 CSS 代码 。 有 很 多 把 CSS 代码 塞 进 库 里 面 的 方法 ， 其 
中 比较 有 意思 的 一 个 是 jQuery UI 提供 的 css() 函数 ， 如 在 文件 Transform.html 中 可 找到 以 
下 代码 。 


<!DOCTYPE htmL> 
























































<htmL> 
<head> 
<script 
src="https://code.jquery.com/jquery-latest.js"> 
</script> 
<script 
src="https://code.jquery.com/ui/1.9.2/jquery-ui.js"> 
</script> 
<script 
src="jquery.transform.js"> 
</script> 
<Link 
rel="stylesheet" 
href="https://code.jquery.com/ui/1.9.2/themes/base/jquery-ui.css" /> 
<title>jquery.transform.js Demonstration</title> 
<style type="text/css"> 
#TransformMe 


border: double; 





border-color: Blue; 
border -width: thick; 


position: absolute; 
width: 120px; 
height: 40px; 


top: 90px; 

Left: 75px; 
#TransformMe p 
{ 

margin: 0; 

padding: 0; 


height: 40px; 

font-family: "Comic Sans MS", cursive, sans-serif; 
font-size: large; 

color: Red; 

background-color: Yellow; 


} 


#Rotate 
{ 
position: absolute; 
top: 190px; 
left: 75px; 
} 
</style> 
<script type="text/javascript"> 
s(function() 
{ 
$("#Rotate").click(function() 


{ 
$s("#TransformMe").css("transform", "rotate(45deg)"); 
]); 
由 
</script> 
</head> 


<body> 
<h1>jquery.transform.js Demonstration</h1> 
<div id="TransformMe"> 
<p>Some Text</p> 


</div> 
<div> 
<input type="button" 
id="Rotate" 
value=" Rotate 45 Degrees " /> 
</div> 
</body> 
</html> 


这 个 例子 中 的 功能 依赖 脚本 jquery.transform.js。 但 是 ， 在 你 深入 研究 脚本 之 前 ， 要 注意 该 
页 面 依赖 标准 CSS 来 摆 放 内 容 。 在 大 部 分 情况 下 ， 你 创建 的 应 用 程序 会 依赖 本 地 代码 与 库 


























代码 的 组 合 。 这 个 例子 的 内 容 包括 了 一 个 作为 标签 的 段落 和 一 个 按钮 。 


点 击 按钮 会 触发 click 事件 ， 它 会 执行 一 行 代码 。TransformWe 的 CSS 被 修改 为 包含 一 个 
45 度 的 旋转 。 文 本 从 平 直 变 成 有 一 个 角度 ， 如 图 6-1 所 示 。 











query.transform.js Demonstration - Mozilla Firefo， 
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jquery.transform.js Demonstration 




















图 6-1: 使 用 旋转 能 更 改 屏 幕 上 文本 的 表现 


允许 脚本 影响 页 面 格式 的 问题 在 于 ， 你 不 能 确定 脚本 执行 完 之 后 页 面 会 变 成 什么 样 。 页 面 
会 包含 隐 含 的 元 素 ， 或 根本 不 展示 想 要 的 信息 。 隐 藏 元 素 可 能 包含 将 用 户 重 定向 到 受 污染 
网 站 的 代码 ， 或 执行 与 应 用 程序 无 关 的 行为 。 


6.1.2 用 库 与 HTML 交 互 

有 些 库 会 以 两 种 常见 的 方式 直接 与 应 用 程序 的 HTML 进行 交互 。 第 一 种 是 与 已 存在 的 元 素 
进行 交互 。 在 这 种 情况 下 ， 内 容 通 过 库 函 数 的 调用 出 现在 元 素 里 面 。 第 二 种 方式 是 创建 新 
元 素 并 将 它们 添加 到 已 存在 的 文档 中 。 新 元 素 可 以 包含 各 种 内 容 ， 包 括 可 能 对 最 终 用 户 造 
成 麻烦 的 某 些 标签 。 

使 用 库 直 接 与 网 站 的 HTML 进行 交互 的 主要 问题 在 于 ， 库 会 给 元 素 填充 各 种 误导 性 、 不 正 
确 或 被 彻底 污染 的 数据 。 例 如 ， 它 没有 创建 你 所 期 望 的 链接 ， 而 是 将 用 户 重 定向 到 另 一 个 
网 站 ， 从 而 可 能 会 将 病毒 或 其 他 恶意 软件 下 载 到 用 户 的 机 器 。 操 作 HTML 的 库 会 导致 你 其 
至 不 能 马上 知道 的 一 些微 小 问题 ， 因 为 一 切 看 起 来 都 在 正常 工作 。 除 非 用户 投 诉 了 相关 的 
错误 指向 (并 根据 URL 异常 的 工作 方式 )， 否 则 你 不 会 知道 相关 的 问题 ， 直 到 很 多 机 器 受 
到 影响 进而 导致 服务 器 出 现 问 题 。 

将 新 元 素 添 加 到 页 面 是 一 个 很 普遍 的 操作 。 在 文件 ViewJSON.html 中 可 找到 基于 名 为 Test. 
json 的 JSON (JavaScript Object Notation) 文件 将 新 元 素 添加 到 文档 中 的 例子 。 接 下 来 的 代 
码 展 示 了 这 个 例子 如 何 执 行 任务 。 
































<!DOCTYPE htmL> 


<htmL> 
<head> 
<title>Viewing JSON Files</title> 
<script 
src="https://code.jquery.com/jquery-latest.js"> 
</script> 
<script language="JavaScript"> 
function ViewData() 


// 从 硬盘 上 获取 数据 
$.getJSON("Test.json", 
function(data) 


{ 
// 创建 一 个 数组 来 保存 数据 


var items = []; 








// 遍历 每 个 用 户 对 象 来 解析 数据 
$.each(data.Users, 
function(key, value) 


items.push("<li>" + 
value.Name + "<br />" + 
value.Number + "<br />" + 
(new Date( 
parseInt(value.Birthday.substr(6))) 
) .toDateString() 
+ "</li>"); 
}); 
// 将 结果 放 在 一 个 无 序列 表 中 


$s('<ul/>', {html: items.join("")}). 
appendTo( 'body ' ); 








}); 
} 
</script> 
</head> 


<body> 
<h1i>Viewing JSON Files</h1> 
<input id="btnView" 
type="button" 
value="View JSON Data" 
onclick="ViewData()" /> 
</body> 
</html> 


在 这 个 例子 中 ， 库 打开 文件 Testjson， 并 从 中 读 取 数据 。 这 段 代 码 移 除 了 JSON 文件 格式 
并 添加 了 HTML 标签 格式 。 然 后 使 用 join() 函数 将 新 元 素 添加 到 页 面 中 。 图 6-2 显示 了 
这 个 例子 的 输出 。 
注意 ， 这 个 例子 避免 了 document.write() 调用 的 使 用 ， 这 个 调用 会 让 用 户 收 到 各 种 不 想 要 
的 内 容 。 使 用 join() 函数 可 以 提供 更 为 安全 的 方式 ， 它 能 让 页 面 远离 安全 问题 。 
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图 6-2: 注入 外 部 数据 源 的 数据 通常 会 带 来 问题 


6.1.3 ”用 库 扩展 JavaScript 
大 部 分 人 考虑 的 是 库 扩展 CSS 或 HTML 的 方式 。 信 息 的 展示 是 最 前 沿 的 。 但 是 ， 库 也 会 
影响 底层 的 脚本 。 例 如 ， 大 部 分 人 熟悉 如 何 使 用 atert() 来 展示 简单 的 消息 。 大 部 分 库 都 
会 包含 某 些 内 容 ， 黑 客 可 以 利用 其 在 屏幕 上 展示 其 他 信息 或 以 其 他 方式 影响 应 用 程序 。 例 
如 ， 文 件 DialogBox.html 中 包含 一 个 创建 自 定 义 弹 框 的 例子 ， 如 下 所 示 。 

<!DOCTYPE htmL> 











<htmL> 
<head> 
<title>Creating a Simple Dialog Box</title> 
<script 
src="https://code.jquery.com/jquery-latest.js"> 
</script> 
<script 
src="https://code.jquery.com/ui/1.9.2/jquery-ui.js"> 
</script> 
<link 
rel="stylesheet" 
href="https://code.jquery.com/ui/1.9.2/themes/base/jquery-ui.css" /> 
<style type="text/css"> 
.Normal 
{ 
font-family: Arial, Helvetica, sans-serif; 
color: SaddleBrown; 
background-color: Bisque; 





只 
只 
贡 
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.Emphasize 

{ 
color: Maroon; 
font-style: italic; 
font-size: larger; 

} 

</style> 

</head> 


<body> 
<h1>Creating a Simple Dialog Box</h1> 
<div id="DialogContent" 
title="Simple Dialog Example" 
hidden> 
<p class="Normal"> 
This is some 
<span class="Emphasize">interesting</span> 
text for the dialog box! 
</p> 
</div> 
<script type="text/javascript"> 
$("#DialogContent").dialog(); 
</script> 
</body> 
</html> 


在 这 个 例子 中 ， 当 你 打开 应 用 程序 时 会 立刻 展示 一 个 弹 框 ， 如 图 6-3 所 示 。 这 种 功 


会 CE 


HE‘ 


来 的 威胁 是 ， 用 户 打开 应 用 程序 想 要 某 种 体验 ， 却 得 到 完全 不 同 的 东西 。 因 为 弹出 框 作 
为 应 用 程序 的 一 部 分 出 现 ， 所 以 用 户 会 提供 弹 框 要 求 的 各 种 信息 或 执行 其 让 用 户 执行 的 

















各 种 操作 。 
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6-3: jQuery UI 的 弹 窗 功能 可 用 于 制造 一 个 安全 漏洞 











黑客 可 以 通过 脚本 (代码 ) 注入 等 方式 启用 这 一 功能 。 例 如 ， 黑 客 可 将 代码 隐藏 在 博客 页 
面 的 评论 里 (这 就 是 为 什么 人 工 审核 评论 是 一 个 好 主意 )。 这 其 中 的 攻击 是 一 门 社会 工程 
学 ， 通 过 将 弹 框 作为 应 用 程序 的 一 部 分 进行 展示 会 让 用 户 觉得 放心 ， 进 而 利用 这 一 情况 做 


些 恶 意 的 事情 。 


6.2 ”区 分 内 部 存储 库 和 外 部 存储 库 


你 可 能 会 认为 所 有 的 JavaScript 库 都 存在 于 第 三 方 网 站 上 。 确 实 有 很 多 流行 的 JavaScript 库 
(如 jQuery) 存在 于 别人 的 网 站 上 。 但 是 ， 很 多 公司 也 有 自己 的 私有 库 。 影 响 内 部 存储 库 
的 因素 有 以 下 这 些 。 


。 它们 存在 于 由 公司 拥有 且 维 护 的 系统 上 。 

。 公司 控制 着 源 代码 并 能 根据 需要 修改 它 ， 以 解决 开发 人 员 碰 到 或 由 别人 引起 公司 注意 的 
问题 。 

。 外 部 人 员 在 没有 公司 授权 时 不 能 访问 这 些 库 。 

。 与 这 些 库 的 连接 依靠 内 部 专线 ， 而 不 是 通过 互联 网 访问 。 

内 部 存储 库 有 很 多 保存 在 第 三 方 网 站 的 外 部 存储 库 所 设 有 的 优点 。 最 主要 的 是 ， 在 相同 的 

码 水 平 下 ， 内 部 存储 库 会 比 外 部 存储 库 更 快 、 更 可 靠 且 更 安全 。( 例 如 ， 黑 客 可 以 轻易 

下 载 存 储 在 外 部 网 站 上 的 库 的 副本 ， 但 对 于 内 部 存储 库 则 不 太 可 能 做 到 这 一 点 。) 此 外 ， 

由 于 库 只 包含 了 公司 真正 需要 的 代码 ， 因 此 很 可 能 内 部 存储 库 会 使 用 更 少 的 资源 ， 这 是 因 

为 其 比 通 用 版 本 要 小 。 当 然 ， 以 上 对 内 部 存储 库 做 了 很 多 可 能 不 对 的 假设 。 以 下 是 一 些 你 

需要 考虑 的 点 。 

。 构建 和 维护 内 部 存储 库 成 本 很 高 ， 所 以 公司 可 能 不 会 持续 更 新 以 保证 安全 。 

。 很 少 有 公司 能 组 建 一 个 在 技术 水 平 上 与 第 三 方 供应 商 相当 的 开发 困 队 ， 所 以 库 的 质量 可 
能 会 有 问题 。 

。 第 三 方 库 会 接受 大 量 测试 人 员 的 测试 ， 所 以 即使 是 很 小 的 错误 也 能 被 发 现 。 内 部 存储 库 
通常 只 接受 了 少量 的 测试 ， 其 至 可 能 没有 排除 一 些 重大 缺陷 。 

内 部 存储 库 可 行 的 关键 在 于 ， 其 目标 是 一 些 特定 的 功能 ， 而 第 三 方 库 不 能 提供 这 些 功 能 ， 

并 且 开 发 团队 将 它们 组 合 起 来 需要 很 大 的 精力 。 当 综合 芳 虑 应 用 程序 的 设计 时 ， 必 须 权 衡 

使 用 内 部 存储 库 所 带 来 的 优点 和 风险 。 此 外 ， 必 须 进一步 定义 第 三 方 库 所 带 来 的 风险 。 


6.3 ”定义 库 市 来 的 安全 威胁 


你 所 创建 的 任何 JavaScript 代码 都 可 能 包含 某 些 墨客 可 加 以 利用 来 达到 各 种 目的 的 错误 。 
库 也 不 例外 。 但 是 ， 因 为 你 正在 将 别人 创建 的 代码 包含 进 自己 创建 的 应 用 程序 中 ， 所 以 就 
有 可 能 出 现 平 时 运行 良好 的 代码 由 于 双方 的 假设 而 最 终 出 现 了 安全 缺陷 。 为 此 ， 每 个 开发 
人 员 在 使 用 库 时 都 需要 知道 的 两 个 工具 是 ， 专 门 为 安全 需求 设计 的 测试 工具 ， 以 及 一 位 优 
秀 的 安全 专家 。 
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你 维护 的 库 不 可 能 是 完全 安全 的 。 你 可 以 说 自己 编写 了 满足 安全 性 最 佳 实践 
的 代码 ， 并 且 安 全 专家 也 已 经 检查 过 代码 ， 但 就 算 有 最 好 的 意识 和 可 靠 的 工 
具 ， 你 也 不 可 能 保证 一 个 库 (或 任何 其 他 代码 ) 是 安全 的 。 这 一 问题 在 非 程 
序 员 (特别 是 公司 的 管理 人 员 ) 想 要 使 用 你 的 库 完 成 开发 任务 时 频繁 出 现 。 
每 个 人 都 清楚 地 知道 你 已 经 采取 了 各 种 恰当 的 安全 措施 ， 但 没有 人 能 保证 所 
有 代码 都 是 完全 安全 的 。 









































即使 经 过 了 测试 ， 你 也 必须 意识 到 ， 在 库 中 、 库 所 支持 的 应 用 程序 中 以 及 这 两 者 的 组 合 
中 ， 可 能 还 存在 着 安全 漏洞 。 为 此 ， 下 面 列 出 了 一 份 你 在 使 用 库 时 最 常 遇见 的 威胁 清单 
(在 具体 的 缺陷 来 源 上 没有 偏重 ) 。 
。 跨 站 脚本 (XSS) 
开发 者 最 常 面 对 的 安全 问题 是 XSS。 以 下 三 种 简单 的 方法 可 以 处 理 XSS。 
4 永远 不 要 在 同一 个 HTTP 响应 中 传递 不 受信 任 的 数据 (如 HTML 或 JavaScript) 。 事 
实 上 ， 如 果 能 让 主 HTML 文档 保持 静态 是 最 好 的 。 


你 可 能 想 知道 服务 器 最 终 会 如 何 将 不 可 信 的 数据 传递 给 用 户 。 这 比 你 想 
象 的 要 容易 。 文 章 “ScriptGard: Automatic Context-Sensitive Sanitization 












































for Large-Scale Legacy Web Applications” (http:/www.comp.nus.edu. 
sg/~prateeks/papers/scriptgard-ccs11.pdf) 描述 了 保持 数据 的 完整 性 有 多 
E， 即 使 你 使 用 了 正确 的 净化 器 。 安 全 的 假设 是 ， 任 何不 是 你 自己 创建 
的 数据 都 是 不 可 信和 的。 





> 




















* 当 你 必须 将 不 可 信 的 数据 从 服务 器 传递 到 客户 端 时 ， 确 保 你 以 JSON 格式 对 其 编码 ， 
并 且 数 据 有 值 为 application/json 的 Content-Type。 

4 一 旦 准备 展示 数据 ， 请 使 用 Node.textContent()、document.createTextNode() 或 
ELement .setAttribute() (只 需要 第 二 个 参数 ) 这 些 调用 以 确保 页 面 可 以 正确 地 展示 它 。 


。 危险 的 洱 数 调用 
JavaScript 支持 某 一 调用 并 不 意味 着 这 一 调用 是 安全 的 。 使 用 setInnerHtmtL() 
或 .innerHtml = 可 以 注入 你 不 想 要 的 脚本 代码 。 使 用 setInnerText() 则 不 会 。 

。 直接 修改 document 
虽然 你 可 能 在 本 书 中 看 见 过 几 次 document.write(), 但 这 只 是 为 了 方便 ， 在 生产 环境 中 
使 用 这 一 调用 会 带 来 灾难 。 这 种 代码 可 在 任何 地 方 写 任 何 东 西 。 请 使 用 那些 添加 、 删 除 
或 更 新 DOM (Document Object Model， 文档 对 象 模 型 元素 的 调用 。 

。 动态 创建 脚本 
任何 时 候 你 把 字符 串 转 变 成 脚本 ， 你 就 正在 邀请 黑客 来 提供 这 些 字 符 串 。 使 用 
evaL()、 传 递 字 符 串 参数 的 setTimeout()、 传 递 字 符 串 参数 的 setInterval() 或 者 new 
Function() 会 让 你 的 代码 严重 不 安全 。 

。 能 执行 但 会 导致 安全 缺陷 的 代码 
有 些 JavaScript 调用 会 给 你 各 种 绳子 让 你 把 自己 吊 起 来 。 为 了 避免 这 种 情况 ， 使 用 
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JavaScript 的 严格 模式 可 确保 只 有 安全 的 调用 可 以 工作 。 

。 与 声明 不 符 的 内 容 
黑客 喜欢 发 送 给 你 与 你 所 想 不 一 样 的 内 容 。 避 免 这 一 问题 的 最 好 方式 是 遵循 一 个 内 容 安 全 
策略 ， 这 意味 着 要 包含 合适 的 内 容 标 签 ， 比 如 script-src 'seLf' 和 objectsrc 'seLf' 。 


使 用 如 JSLint (http://www.jslint.com/) 等 工具 扫描 库 可 帮 有 你 确认 代码 质量 。 
高 质量 的 代码 不 太 可 能 包含 导致 安全 问题 的 错误 。 但 是 ， 很 重要 的 是 要 认识 
到 ，JSLint (或 类 似 的 工具 ) 不 会 专门 扫描 安全 问题 。 事 实 上 ， 你 不 能 在 代 
码 中 扫描 安全 问题 。 为 了 检查 安全 性 问题 ， 你 必须 开始 专门 为 此 测试 你 的 代 
码 。 如 果 代 码 要 求 比 测试 所 能 提供 的 更 高 等 级 的 安全 保证 ， 那 你 还 必须 聘请 
安全 专家 来 人 工 检查 代码 是 否 有 潜在 的 问题 。 














6.3.1 启用 严格 模式 


较 新 的 浏览 器 提供 了 对 ECMAScript 5 的 支持 ， 这 包含 了 JavaScript 的 严格 模式 。 为 了 使 用 
这 一 安全 特性 ， 你 需要 确保 用 户 不 再 使 用 自己 的 机 器 上 的 化 石 级 浏览 器 。 例 如 ，IE9 就 不 
支持 这 一 功能 ， 但 正 10 支持 。 你 可 以 在 网 页 http://kangax.github.io/compattable/es5/ 上 找到 
哪些 浏览 器 支持 严格 模式 。 很 关键 的 是 ， 你 要 制定 一 个 组 织 策略 ， 要 求 用 户 使 用 特定 的 浏 
览 嚣 以 使 应 用 程序 得 以 工作 。 


严格 模式 对 JavaScript 的 操作 方式 做 了 许多 明显 的 和 微小 的 改变 。 重 要 的 是 使 JavaScript 应 
用 的 调试 变 得 更 简单 ， 因 为 你 的 JavaScript 应 用 程序 如 今 会 在 遇 到 问题 时 报错 ， 而 不 是 悄 
悄 地 失败 并 表现 出 怪异 的 行为 。 这 意味 着 过 去 常常 无 故 死 掉 的 奇怪 的 库 调用 现在 会 告诉 你 
相关 问题 的 信息 。 以 下 是 严格 模式 可 帮 你 解决 的 主要 问题 。 
。 消除 对 with 的 使 用 
使 用 with 语句 会 给 应 用 程序 带 来 安全 问题 。 最 新 版 本 的 JavaScript 已 经 丢弃 了 这 一 功 
能 ， 因 为 它 太 危险 了 。 一 旦 你 尝试 在 代码 中 使 用 with， 严 格 模式 就 会 报错 。 
。 防止 错误 变量 
JavaScript 的 一 个 主要 问题 是 ， 通 过 给 一 个 写 错 名 称 的 变量 赋值 ， 你 可 以 突然 创建 出 新 
的 变量 。 在 某 些 情况 下 ， 这 种 错误 会 创建 出 导致 安全 漏洞 的 不 正确 的 全 局 变量 。 严 格 模 
式 会 强制 你 在 使 用 每 一 个 变量 之 前 先 声明 它 ， 这 样 就 不 再 可 能 突然 创建 出 变量 。 
。 不 允许 强制 多 态 使 用 this 
有 些 已 存在 的 代码 会 强制 局 部 变量 变 成 全 局 状态 ， 在 其 处 于 未 赋值 或 null 状态 下 时 给 它 
们 赋值 。 例 如 ， 你 不 能 在 通过 调用 new 来 实例 化 一 个 对 象 之 前 ， 在 构造 函数 中 给 一 个 变 
量 赋值 。 
。 阻止 重 名 
开发 人 员 很 容易 在 对 象 中 创建 重复 的 属性 或 在 函数 里 命名 相同 的 参数 。 如 果 你 尝试 这 样 
做 ， 严 格 模式 就 会 报错 。 







































































。 对 不 可 变 值 的 改变 会 发 出 通知 

在 JavaScript 里 要 改变 一 个 不 可 变 值 是 不 可 能 的 。 但 是 在 过 去 ， 这 一 尝试 只 是 会 悄悄 地 
失败 ， 所 以 有 可 能 你 认为 代码 当前 处 于 某 一 状态 ， 但 实际 却 处 于 另 一 状态 。 严 格 模式 会 
在 任何 尝试 改变 不 可 变 值 时 报错 。 
严格 模式 适用 于 ECMAScript 5 及 以 上 版 本 。 你 不 需要 安装 任何 特别 的 东西 来 获得 严格 模 
式 的 支持 。 但 是 你 必须 包含 "use strict"; 这 样 的 字符 串 。 较 旧版 本 的 JavaScript 会 忽略 这 
一 字符 串 ， 所 以 你 不 会 发 现 旧 代码 的 运行 有 什么 改变 。 文 件 StrictMode.html 中 包含 下 面 的 
例子 。 


<!DOCTYPE htmL> 












































<htmL> 
<head> 
<title>Working with Strict Mode</title> 
<script language="javascript"> 
function testStrict(Name) 


{ 
"use strict"; 
try 
{ 
this.Name = Name; 
alert(this.Name); 
catch (e) 
alert(e); 
} 
} 
</script> 
</head> 


<body> 
<h1>Working with Strict Mode</h1> 
<button id="Test" onclick="testStrict('George')"> 
Test 
</button> 
</body> 
</html> 


如 果 没 有 严格 模式 检查 (你 可 以 简单 地 把 相关 语句 注释 掉 试 坛 )， 这 段 代码 会 展示 错误 赋 
给 this.Name 的 值 George。 但 是 ， 有 了 严格 模式 检查 ， 你 会 看 到 如 图 6-4 所 示 的 错误 消息 。 
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TypeError: this is undefined 


(mois) 














图 6-4: 严格 模式 检查 会 阻止 不 正确 的 赋值 


永远 不 要 全 局 使 用 严格 模式 。 一 开始 这 似乎 是 一 个 很 好 的 主意 ， 但 你 很 快 会 
发 现 某 些 库 不 能 运行 。 严 格 模式 背后 的 思想 是 ， 确 保 你 对 自己 开发 的 代码 有 
严格 的 控制 。 使 用 校 验 检查 ， 你 可 以 监控 你 所 使 用 的 库 的 行为 。 








6.3.2 开发 CSP 


开发 人 员 面 对 的 最 大 问题 之 一 是 ， 要 开发 不 容易 受到 各 种 脚本 或 XSS 等 内 容 的 注入 攻击 的 
应 用 程序 。 由 于 浏览 器 的 工作 方式 ， 这 一 问题 并 不 容易 解决 。 浏 览 器 实际 上 信任 来 自 某 一 
特定 来 源 的 任何 内 容 ， 所 以 浏览 器 会 信任 与 元 数据 处 于 同一 级 别 的 任何 注入 的 内 容 。 内 容 
安全 策略 (Content Security Policy，CSP) 旨 在 通过 创建 白 名 单 这 类 措施 来 解决 这 一 问题 。 
对 于 支持 CSP 的 浏览 器 来 说 (可 在 网 页 http://caniuse.com/contentsecuritypolicy 上 找到 列 出 
可 兼容 浏览 器 的 表格 ) ，CSP 提供 了 让 浏览 器 免 于 识别 来 自 不 受 支 持 的 网 站 的 脚本 及 内 容 
的 方法 。 该 策略 表现 为 加 在 页 面 顶部 的 各 种 头 部 信息 。 当 浏览 絮 看 到 这 些 头 部 信息 上 时， 会 
使 用 它们 来 确定 哪些 脚本 和 内 容 是 可 以 安全 加 载 的 。 


当 浏览 器 不 提供 对 CSP 的 支持 时 ， 它 会 忽略 你 提供 的 头 部 信息 并 表现 得 跟 平 
时 一 样 。 这 意味 如 果 你 想 要 将 CSP 作为 阻止 错误 内 容 的 方法 ， 就 必须 依靠 支 
持 CSP 的 浏览 器 。 否 则 浏览 器 将 跟 平 常 一 样 工作 ， 并 继续 加 载 来 自 不 受 支持 
的 网 站 的 内 容 。 








头 部 包含 三 个 基本 要 素 : 策略 名 、 数 据 类 型 和 数据 源 。 下 面 是 一 个 只 包含 一 个 数据 类 型 的 
CSP 头 的 例子 。 


Content-Security-Policy: script-src 'self' 


在 这 个 例子 中 ，CSP 声明 浏览 器 应 该 只 执行 朋 入 到 本 页 面 的 脚本 。 如 采 你 还 想 提 供 对 
jQuery 的 支持 ， 就 需要 为 此 扩展 策略 ， 如 下 所 示 。 


Content-Security-Policy: script-src 'self' 'https://code.jquery.com' 


你 不 需要 提供 源 代码 文件 的 具体 位 置 ， 只 需要 主机 站 点 的 信息 。 每 一 个 入 口 通过 空格 与 下 
一 个 分 隔 开 。 一 个 CSP 可 以 定义 各 种 内 容 类 型 。 例 如 ， 你 可 能 决定 你 要 支持 在 本 地 页 面 中 
找到 的 脚本 ， 但 你 根本 不 想 支 持 对 象 。 在 这 种 情况 下 ， 你 要 使 用 下 面 的 CSP 头 。 


Content-Security-Policy: script-src 'self'; object-src 'none' 


注意 内 容 类 型 通过 分 号 (;) 分 隔 。CSP 支持 许多 不 同 的 内 容 类 型 指令 。 你 可 以 在 网 站 
http://contentsecurity-policy.com/ 上 找到 一 份 包含 这 些 指令 列表 、 样 例 值 和 描述 的 快速 指南 。 
重要 的 是 要 记 住 ， 使 用 CSP 可 以 让 你 避免 代码 中 的 黑客 可 加 以 利用 的 微小 漏洞 。 


6.4 安全 地 包含 库 


有 些 公司 简单 地 将 一 个 库 加 到 它们 的 工具 箱 里 ， 因 为 其 提供 了 所 需 的 功能 ， 而 没有 仔细 考 
虑 应 如 何 将 库 与 其 他 代码 集成 在 一 起 ， 其 至 没有 考虑 使 用 它 是 否 是 一 个 好 的 做 法 。 至 少 在 
某 些 情况 下 ， 那 些 没有 仔细 考虑 库 的 使 用 的 公司 最 终 都 会 后 悔 ， 因 为 这 些 库 包含 了 大 量 的 
安全 漏洞 ， 运 行 得 不 可 靠 或 很 慢 ， 或 者 与 从 一 开始 就 自己 开发 库 相 比 ， 其 要 耗费 公司 更 多 
的 时 间 。 接 下 来 的 几 个 小 市 将 帮助 你 确定 将 有 趣 的 库 包 含 进 应 用 程序 中 是 否 真 的 是 一 个 好 
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主意 。 
















































































拥抱 沙 盒 方案 

即使 你 检查 了 第 三 方 的 JavaScript 代码 并 完全 清除 了 所 使 用 的 数据 ， 某 些 东西 仍然 很 
有 可 能 会 悄悄 泄露 。 要 记 住 ， 推 个 一 面 墙 要 比 建造 它 更 容易 。 在 谈 到 JavaScript 的 安 
全 威胁 时 ， 你 必须 想到 每 一 次 有 新 的 防护 措施 时 ， 黑 客 也 会 用 新 的 方式 来 绕 过 你 的 安 
全 措施 。 

解决 这 一 问题 的 一 个 潜在 方式 是 依靠 沙 爹 。 本 质 上 来 说 ， 这 意味 着 第 三 方 库 在 比 自己 
创建 的 代码 较 低 的 权限 级 别 上 运行 。 使 用 沙 铭 不 能 确保 应 用 程序 是 安全 的 ， 但 它 降低 
了 应 用 程序 出 现 安全 漏洞 的 可 能 性 。 你 可 以 在 网 页 http://www.slideshare.net/phungphu/ 
a-twotier-sandbox-architecture-for-untrustedjavascript 上 读 到 关于 沙 盒 技术 的 信息 。 幻 灯 
片 里 描述 的 技术 都 很 复杂 ， 但 它们 都 是 有 效 的 。 与 所 有 事情 一 样 ， 最 终 都 归结 于 你 在 
运行 一 个 应 用 程序 时 能 够 承受 什么 级 别 的 风险 。 第 10 章 探 讨 了 沙 金 使 用 的 细节 。 














6.4.1 充分 研究 库 


任何 时 候 你 选择 将 一 个 库 添 加 进 自 己 的 应 用 程序 中 ， 就 展示 了 对 库 作 者 的 信任 。 即 使 有 称 

职 的 安全 专家 的 帮助 ， 将 一 个 库 拿 出 来 并 对 其 每 一 处 的 代码 进行 测试 (假设 能 得 到 完整 的 

代码 ) 会 花费 比 从 头 开 发 库 更 多 的 时 间 。( 确 保 你 拿 到 的 不 是 压缩 版 的 库 ， 不 然 会 很 难 检 

查 ， 因 为 供应 商 移 除了 空白 字符 。) 因此 ， 你 必须 考虑 将 这 个 库 作为 你 创建 的 应 用 程序 解 

决 方案 的 一 部 分 ， 带 来 的 风险 是 否 足够 小 。 当 研究 一 个 库 时 ， 考 虑 一 下 以 下 问题 。 

。 行业 杂志 是 否 以 负面 的 方式 讨论 过 这 个 库 ? (如 果 这 个 库 有 已 知 的 未 解决 的 安全 漏洞 ， 
你 可 能 需要 重新 考虑 是 否 将 其 用 于 自己 的 应 用 程序 中 。) 

。 是 否 有 其 他 公司 使 用 了 该 库 且 没有 问题 ? 

。 开发 这 个 库 的 公司 在 回答 关于 库 的 完整 性 问题 时 是 否 是 积极 的 ? 

。 创建 这 个 库 的 公司 是 否 提供 了 一 致 的 bug 修复 和 更 新 ? 

。 人 们 在 这 个 库 的 在 线 支持 中 辣 了 哪些 问题 ? 

。 这 个 库存 在 了 多 长 时 间 ? (存在 时 间 很 长 的 库 通常 问题 更 少 ， 并 且 创 建 者 的 支持 工作 也 
做 得 更 好 。) 


6.4.2 ”精确 定义 库 的 使 用 


没有 人 会 使 用 应 用 程序 中 每 个 库 的 每 个 功能 。 有 些 研究 网 站 宣称 开发 人 员 只 会 使 用 库 的 一 
个 或 两 个 功能 。 用 文档 记录 你 要 如 何 使 用 一 个 库 ， 可 将 注意 力 聚 焦 在 相关 部 分 ， 从 而 帮 你 
规避 使 用 库 所 带 来 的 风险 。 更 重要 的 是 ， 跟 踪 具 体 的 使 用 部 分 能 告诉 你 何 时 必须 执行 一 次 
更 新 ， 或 如 何 通过 移 除 用 不 到 的 功能 来 缩小 库 的 规模 。 对 于 如 何 使 用 库 来 执行 特定 的 应 用 
任务 了 解 得 越 多 ， 就 越 能 降低 使 用 它 时 的 风险 。 


6.4.3 保持 库 的 小 规模 和 内 容 聚 焦 

只 要 有 可 能 ， 就 应 将 第 三 方 库 保 持 在 小 规模 且 聚 焦 于 特定 的 需求 。 这 意味 着 你 要 移 除 你 不 
会 使 用 的 代码 ， 因 为 这 些 代码 会 制造 以 下 问题 。 

。 拖 慢 下 载 速 度 

。 增加 安全 问题 

。 降低 可 靠 性 

。 导致 不 必要 的 更 新 

幸运 的 是 ， 存 在 一 些 最 好 的 第 三 方 库 。 它 们 想 让 你 创建 一 个 定制 化 版 本 用 在 自己 的 网 站 
上 。 例 如 ， 当 使 用 jQuery UI 时 ， 你 可 以 使 用 特定 的 构建 器 创建 一 个 定制 化 版 本 ， 如 图 6-5 
所 示 。 
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图 6-5: 使 用 jQuery UI 构建 器 可 帮助 你 创建 一 个 定制 化 版 本 的 库 


使 用 构建 器 意味 着 你 创建 的 库 只 包含 你 确实 需要 的 元 素 。 当 然 ， 其 缺点 是 你 必须 提供 对 这 
个 库 的 维护 ， 这 意味 着 当 作 者 有 更 新 时 你 得 不 到 自动 的 更 新 。 如 果 你 选择 了 这 一 方案 ， 关 
键 是 要 定期 检查 是 否 有 更 新 库 的 需要 。 


6.4.4 执行 必需 的 测试 

在 将 任何 库 放 到 生产 环境 中 之 前 ， 你 必须 构建 一 个 测试 套件 ， 以 确定 这 个 库 是 否 能 如 你 期 
望 的 那样 工作 。 你 可 以 使 用 一 个 供应 商 指定 的 测试 套件 ， 但 使 用 自己 设计 的 、 能 模拟 你 的 
应 用 程序 如 何 使 用 这 个 库 的 测试 套件 也 是 很 重要 的 。 测 试 过 程 应 该 包含 对 合法 和 不 合法 的 
输入 数据 的 检查 。 重 要 的 是 要 确保 对 于 合法 的 输入 你 能 得 到 预期 的 输出 ， 而 对 于 不 合法 的 
输入 你 能 得 到 某 些 异常 。 第 11 章 和 第 12 章 详细 探讨 了 如 何 对 应 用 程序 及 甚 使 用 的 库 执行 
各 种 级 别 的 测试 。 
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6.5 区 分 库 和 框架 


第 5 章 的 补充 信息 “区 分 框架 和 库 ” 从 可 靠 性 的 角度 简要 概述 了 库 和 框架 的 不 同 。 当 然 ， 
除了 可 靠 性 问题 ， 它 们 还 有 更 多 的 差异 。 重 要 的 是 要 对 如 何 准确 区 分 两 者 的 不 同 以 及 你 ; 


什么 








需要 关心 这 些 不 同 有 更 好 的 理解 。 





框架 以 库 所 不 具备 的 方式 为 网 站 提供 了 一 套 模板 。 当 使 用 库 时 ， 应 用 程序 只 是 依靠 其 他 来 
源 的 代码 。 框 架 的 使 用 意味 着 另 一 种 层面 的 参与 ， 应 用 程序 现在 使 用 外 部 源 来 获得 额外 的 
支持 。 因 为 框架 更 充分 地 集成 到 一 个 应 用 程序 中 并 且 提 供 了 更 多 的 资源 ， 所 以 比 起 使 用 











库 ， 你 还 必须 将 其 放 在 一 个 更 高 的 标准 上 (虽然 你 应 该 将 两 者 都 放 在 高 标准 上 )。 





尝试 指出 一 个 框架 是 否 能 安全 使 用 是 很 困难 的 。 事 实 上 ， 测 试 会 变 得 几乎 不 可 能 。 为 
此 ,第 三 方 的 安全 专家 尝试 量化 框架 和 模板 库 的 安全 有 级别。 查询 相关 信息 的 一 个 好 地 方 是 
mustache-security (https://code.google.com/archive/p/mustache-security/) 。 这 个 网 站 为 你 提供 


对 框 











架 7 个 级 别 的 检查 ， 如 图 6-6 所 示 。 
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图 6-6: mustache-security 等 网 站 提供 了 对 框架 7 个 级 别 的 检查 


看 看 这 个 页 面 的 下 面部 分 ， 你 会 发 现 与 框架 安全 相关 的 新 闻 并 不 好 。 如 今 的 大 部 分 框架 都 
包含 严重 的 安全 问题 ， 你 需要 在 将 其 应 用 于 应 用 程序 开发 之 前 考虑 这 些 问 题 。 图 6-7 展示 


了 某 些 如 今 最 流行 的 框架 和 模板 库 的 检查 结果 。 
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图 6-7: 大 部 分 框架 和 模板 库 在 安全 方面 还 有 很 长 的 路 要 走 


这 类 网 站 的 有 趣 之 处 在 于 它们 通常 提供 了 这 些 框架 如 何 失败 的 例子 。 例 如 ， 点 击 图 6-7 中 
表格 中 的 AngularJS 链接 ， 你 会 看 到 该 框架 在 安全 领域 失败 的 细节 ， 如 图 6-8 所 示 。 这 些 
信息 还 包含 了 可 用 于 消除 这 一 问题 的 解决 方案 ， 这 也 是 你 要 花费 一 些 时 间 来 研究 框架 并 确 





保 准 确 理解 它们 的 缺陷 所 在 的 主要 原因 。 
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Injection Attacks 


AngularJS offers frontend developers a scope object that attempts to isolate global variables fom the templating work-flow and keep things lean 
and “Angular-only”. This makes sense - and to be fair the AngularjS documentation explicitly states that the scope object is not considered to 
be a sandbox. And indeed it is none. With a simple JavaScript trick one can break out of this "non-sandbox" and execute arbitrary code in 
window and other host objects. 


AngularJS 1.0.8 and 1.1.5 

XSS in Template 

As can be seen in the “paste-and-go"-ready code examples: once an attacker controls the content of the ng-app block, almost arbitrary script 
execution is possible Everything inside ff and }} is treated as AngularJS expression and with the mentioned trick we can break out our scope 


and get access to window. 


Sript sreshttp://ajax.go0gleapis. con/ajax/1ibs/anoularis/1.1.5/angular .win. js"></script> 
liv class="ng-app": 

{{constructor. constructor ("alert(1)")O}} 

</div> 


HTML-encoded XSS in Template 


AngularJS has no mercy for developers who like to secure their applications by properly encoding user generated data. As the following example 
shows, even HTML-encoded curlies allow payload execution. 


‘<script src="http://ajax.googleapis. com/ajax/1ibs/angularjis/1.1.5/angular.min.js"></script> 
<div class="ng-app" 


> 
&#X7b; &#x7b; constructor. constructor ("alert(1)')O&#x7d; &#x7d; 
</div> 


And just to be on the safe side, AngularJS executes the alert twice. 








图 6-8: 某 些 安全 网 址 提供 了 示例 代码 来 展示 框架 中 的 安全 问题 
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慎 用 API 





API 提供 了 一 种 使 用 别人 服务 器 上 成 熟 的 应 用 程序 来 满足 自己 特定 需求 的 方法 。 使 用 API 
意味 着 要 将 一 个 请 求 发 送 到 一 个 黑箱 并 接收 某 种 类 型 的 响应 。 这 样 的 请 求 就 像 函 数 调用 一 
样 简单 ， 但 通常 需要 你 提供 数据 。 响 应 可 以 是 数据 的 形式 ， 也 可 以 是 其 他 服务 。 例 如 ， 有 
些 API 用 来 执行 开门 这 样 的 物理 性 任务 。 事 实 上 ，API 或 许可 以 满足 你 的 一 般 需 求 。 本 章 
将 探讨 使 用 API 过 程 中 的 安全 问题 以 及 API 与 库 的 区 别 。 

查看 编码 示例 是 发 现 API 带 来 的 安全 威胁 的 一 种 方式 。 本 章 在 解释 过 程 中 将 使 用 一 个 简单 
的 例子 。 虽 然 你 可 以 为 大 量 的 应 用 程序 任务 使 用 目标 API， 但 本 章 的 要 点 是 创建 一 些 用 于 
讨论 的 应 用 任务 ， 然 后 观察 使 用 API 会 给 应 用 程序 带 来 什么 问题 。 请 将 本 章 中 的 例子 视 为 
一 个 讨论 点 ， 而 不 是 一 种 实际 的 编程 技术 。 


虽然 本 章 在 编码 示例 和 API 出 错 的 例子 中 探讨 了 某 些 API， 但 其 意图 并 不 是 
要 针对 这 些 具体 的 API。 你 所 使 用 的 每 一 个 API 都 可 能 有 严重 的 漏洞 ， 从 而 
使 得 黑客 入侵 你 的 系统 或 给 应 用 程序 造成 其 他 问题 。 这 些 具体 的 例子 会 帮 你 
理解 所 有 API 通常 会 如 何 出 错 。 总 之 ， 你 不 应 该 将 本 章 中 的 例子 作为 对 具体 
API 存在 问题 的 暗示 ， 进 而 避免 使 用 它们 。 






























































当然 ， 所 有 这 些 探索 都 是 为 了 确定 你 应 该 如 何 安全 地 使 用 API， 将 其 作为 应 用 程序 开发 策 
略 的 一 部 分 。 因 为 API 有 很 多 优点 ， 所 以 你 不 会 很 快 看 到 它们 消失 ， 尽 管 从 安全 的 角度 
看 ,使 用 它们 不 是 一 个 好 主意 。 事 实 上 ， 你 可 以 期 待 API 使 用 范围 的 扩大 ， 因 为 开发 人 员 
一 直 有 时间 紧张 (time-crunch) 的 问题 ， 而 API 可 以 解决 这 一 问题 。 随 着 更 多 的 人 使 用 基 
于 Web 的 应 用 程序 ， 且 这 些 应 用 程序 变 得 更 加 复杂 ， 你 可 以 期 待 API 的 使 用 会 扩大 以 请 
足 有 具体 的 需求 。 随 着 使 用 量 的 增加 ， 墨 客 可 利用 的 机 会 也 会 增加 ， 他 们 想 要 窃取 你 的 数据 
并 以 你 从 未 设想 的 方式 使 用 它 。 总 之 ，API 的 安全 内 存 占用 会 增加 ， 你 在 使 用 它们 的 过 程 
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中 要 花费 的 努力 也 必须 增加 。 


7.1 区 分 API 和 库 


有 些 开 发 人 员 认为 ， 除 了 自己 的 代码 之 外 ， 所 有 其 他 的 源 都 是 一 样 的 。 但 是 API 和 库 还 是 
有 明显 的 区 别 。 例 如 ，API 表现 为 一 种 进程 外 调用 ， 因 为 它们 在 另 一 台 服 务 器 上 运行 ， 而 
库 表现 为 进程 内 调用 ， 因 为 你 会 将 其 作为 应 用 程序 的 一 部 分 包含 在 里 面 。 进 程 内 与 进程 外 
的 明显 不 同 会 改变 你 看 待 安全 问题 的 方式 。 接 下 来 的 几 小 三 有 助 于 更 全 面 地 定义 API 和 库 
































的 区 别 ， 从 而 让 你 更 好 地 理解 使 用 这 二 者 时 的 安全 问题 。 


有 些 人 将 库 和 API 作为 可 互 换 的 东西 使 用 ,但 在 本 书 中 ， 两 者 的 意思 有 明 
确 的 不 同 。 第 6 章 详细 定 义 了 库 ， 但 从 本 质 上 说 ， 库 是 你 通过 使 用 宿主 语言 
所 要 求 的 任何 技术 包含 到 应 用 程序 中 的 外 部 代码 。 你 将 库 作 为 应 用 程序 的 一 
部 分 直接 在 自己 的 代码 中 使 用 。 所 以 ， 尽 管 库 的 源 代码 存在 于 第 三 方 服务 器 
上 ， 库 通常 也 是 一 个 进程 内 编码 技术 。 为 了 使 用 库 ， 要 将 第 三 方 服 务 器 上 的 
代码 下 载 到 你 的 服务 器 上 并 成 为 应 用 程序 的 一 部 分 ， 与 应 用 程序 在 同一 个 进 









































程 中 运行 。 























本 书 还 会 区 分 用 于 执行 任务 的 API 和 作为 应 用 程序 开发 工作 一 部 分 的 API。 
例如 ， 网 页 http:/www.w3.org/standards/webdesign/script 上 描述 的 JavaScript 
Web API 定 义 了 JavaScript 的 语言 要 素 。 这 一 类 API 定义 了 用 于 编写 脚本 的 
一 门 语言 。 是 的 ， 这 是 一 种 正规 的 API， 但 不 是 本 书 上 下 文中 所 指 的 那 种 。 
本 书 的 API 更 多 的 是 指 一 种 Web 服务 ， 而 不 是 一 种 特定 语言 的 规范 。 





7.1.1 考虑 流行 速度 上 的 差异 





库 与 API 都 能 为 开发 人 员 节 和 省 开发 时 间 。 事 实 上 ， 现 在 大 部 分 基于 Web 的 应 用 程序 会 结 
合 使 用 库 与 API 来 执行 任务 。 但 是 看 起 来 API 比 库 流行 得 更 快 ， 原 因 如 下 。 


。 减少 了 资源 的 使 用 








API 在 别人 的 服务 器 上 运行 ， 所 以 你 不 需要 获取 所 需 的 资源 。 但 是 ， 代 码 在 别人 的 服务 
器 上 运行 也 意味 着 你 在 某 些 节点 上 会 失去 对 数据 的 控制 ， 并 且 你 永远 看 不 到 真正 的 API 
代码 ， 这 样 也 就 不 能 对 其 表现 的 安全 威胁 进行 评估 。 

















。 减少 了 编码 要 求 





通常 而 言 ， 使 用 API 比 使 用 库 更 加 简单 ， 并 且 需 要 更 少 的 代码 。 当 然 ， 你 对 API 也 会 
有 更 少 的 控制 权 。 这 是 灵活 性 和 复杂 性 之 间 的 交换 。 由 于 开发 人 员 越 来 越 超 负 荷 ， 可 减 
少 编码 要 求 的 API 变 得 非常 有 吸引 力 。 但 是 ， 被 降低 的 灵活 性 也 会 成 为 潜在 安全 威胁 
的 源头 ， 因 为 你 不 再 能 修改 代码 以 满足 自己 的 具体 需求 。 














。 更 小 的 学 习 曲 线 
与 库 相 比 ， 学 习 如 何 使 用 API 通常 更 容易 ， 


因为 API 通常 是 客户 端 / 服 务 器 模式 的 。 最 





大 的 问题 是 如 何 格式 化 数据 以 让 API 明白 你 想 要 它 做 什么 。 最 大 的 安全 问题 也 就 存在 
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于 数据 格式 化 当中 。 黑 客 可 以 制造 格式 不 对 的 查询 来 导致 服务 器 崩溃 或 迫使 服务 器 以 错 
误 的 形式 响应 。 因 为 跟踪 查询 的 源头 可 追查 到 你 的 应 用 程序 ， 所 以 API 所 在 的 主机 会 
惩罚 你 的 应 用 程序 ， 而 不 是 惩罚 造成 问题 的 黑客 。 








7.1.2 区 分 用 法 上 的 差异 


你 不 太 可 能 在 每 个 使 用 库 的 地 方 都 换 成 使 用 API (反之 亦 然 )。 某 些 情况 需要 一 种 集成 的 方 
法 。 例 如 ， 你 不 能 简单 地 用 API 来 编写 UI， 编写 UI 真 的 需要 库 。( 你 可 以 获得 用 于 UI 的 
数据 ， 如 后 面 要 介绍 的 Google API 的 例子 ， 但 这 不 同 于 真正 创建 界面 元 素 。) 接 下 来 描述 
了 API 的 一 些 典 型 应 用 以 及 它们 的 安全 意 涵 。 

















数据 查询 
API 最 常用 于 请 求 一 些 数据 。 这 样 的 请 求 通常 包含 请 求 数据 参数 。 数 据 源 可 以 是 数据 
库 、 传 感 器 、 计 算 值 和 分 析 结 果 。 只 要 你 处 理 数 据 ， 中 间 人 攻击 就 是 很 普遍 的 。 但 是 ， 
黑客 可 以 简单 地 选择 更 改 数据 来 误导 你 ， 或 使 用 接收 的 数据 作为 入 侵 你 网 络 的 方法 。 
监视 控制 与 数据 采集 
物 联 网 (The Internet of Things，IoT) 依靠 Web 接口 来 执行 很 多 监视 控制 与 数据 采集 
(supervisory control and data acquisition，SCADA) 任务 。 例 如 ， 当 你 有 一 个 合适 的 恒温 
调节 器 时 ， 无 论 你 在 哪里 ， 都 可 以 通过 智能 手机 上 的 Web 应 用 程序 轻松 调节 房子 的 温 
度 。 黑 客 可 以 轻松 地 接 入 到 相同 的 接口 并 调 低 房子 的 温度 直到 水 管 被 冻 住 ， 或 使 屋子 热 
到 你 回 到 家 时 需要 把 门 打开 。 当 然 ，SCADA 涵盖 包括 工业 控制 在 内 的 各 种 事情 。 在 这 
种 情况 下 ， 安 全 漏洞 不 仅 会 影响 数据 ， 还 会 造成 物理 影响 。 
监视 
数据 查询 与 SCADA 之 间 的 中 间 地 带 是 监视 系统 。 例 如 ， 警 察 可 能 想 要 在 抗议 或 其 他 事 
件 发 生 时 监控 街道 摄像 头 。 通 过 API 可 以 创建 可 在 任何 地 点 监控 任何 摄像 头 的 应 用 程 
序 ， 为 广大 群众 提供 保障 。 黑 客 可 让 这 个 API 提供 错误 的 信息 。 
你 很 容易 会 想到 你 或 你 的 公司 使 用 的 应 用 程序 并 不 真 的 适合 作为 一 个 监视 
系统 。 但 是 ， 房 屋 安全 、 婴 儿 监 控 、 健 康 设备 以 及 各 种 其 他 的 应 用 程序 都 
表现 得 像 一 个 监视 器 。 因 此 ， 监 控 软 件 领 域 可 能 比 你 最 初 想象 的 要 大 。 









































多 媒体 

API 不 仅仅 处 理 文本 或 其 他 抽象 数据 。 它 还 能 执行 与 人 的 其 他 感官 相关 的 任务 ， 如 视频 
和 音频 就 是 最 普遍 的 。 对 多 媒体 的 控制 和 操作 创造 出 一 种 用 户 以 非 传 统 方式 与 应 用 程序 
交互 的 环境 ， 且 结果 通常 是 令 人 惊讶 的 。 通 过 将 多 媒体 与 数据 科学 结合 ， 有 可 能 让 人 们 
在 日 常生 活 中 认识 到 新 的 模式 和 对 象 ， 比 如 紫外 线 的 可 视 化 场景 ， 这 在 过 去 是 不 可 能 
的 。 但 是 ， 很 重要 的 是 要 认识 到 多 媒体 只 是 另 一 种 形式 的 数据 ， 而 所 有 形式 的 数据 都 容 
易 被 黑客 拦截 、 破 坏 ， 并 且 以 未 想到 的 方式 被 操作 。 


定位 


虽然 地 理 定 位 是 定位 采集 、 查 询 和 操作 的 最 常见 形式 ， 但 重要 的 是 要 理解 存在 处 理 各 种 




































































位 置信 息 的 API。 与 多 媒体 类 似 ， 位 置 也 是 一 种 特殊 的 数据 。 在 这 种 情况 下 ， 它 提供 了 
一 个 与 某 一 具体 目标 空间 相关 的 二 维 或 三 维 的 空间 点 ， 比 如 地 球 。 就 这 一 点 来 说 ， 某 些 
API 还 在 公式 里 加 入 了 四 维 元 素 : 时 间 。 想 象 一 下 ， 如 果 黑 客 选择 修改 两 个 对 象 ， 比 如 两 
辆 汽车 的 位 置信 息 ， 尝 试 让 它们 在 同一 时 间 占 据 相同 的 空间 ， 会 发 生 什么 (导致 相 撞 )。 


7.2 用 API 扩 展 JavaScript 


从 现实 世界 的 角度 来 考虑 安全 性 是 很 重要 的 。 接 下 来 的 几 个 小 市 描述 了 为 了 测试 和 应 用 开 
发 目的 而 定位 合适 的 API 过 程 中 的 某 些 问题 。 然 后 我 们 会 看 一 个 用 Google Maps API 进行 
实践 的 例子 。 这 个 简单 应 用 表明 了 我 们 需要 考虑 格式 不 正确 的 请 求 、 服 务 器 错误 以 及 错 
误 的 返回 数据 等 问题 。 这 个 例子 很 有 趣 ， 因 为 它 展 示 了 应 该 如 何 创 建 一 个 应 用 程序 ， 根 据 
API 返回 的 数据 用 浏览 器 的 画布 画 出 一 部 分 UI。 


研究 本 章 示 例 的 最 好 方式 是 使 用 可 下 载 的 代码 ， 而 不 是 手动 键入 这 些 代 
码 。 使 用 下 载 的 代码 可 减少 潜在 的 错误 。 你 能 在 下 载 的 代码 的 目录 \S4WD\ 
Chapter07\GoogleAPI 下 找到 Google Maps API 的 例子 。 




















7.2.1 定位 合适 的 API 


JavaScript 提供 了 一 个 同时 支持 API 和 库 的 可 扩展 编程 环境 。 开 发 人 员 已 经 获得 这 两 种 形 
式 的 可 扩展 性 的 好 处 ， 通 过 扩展 能 创造 出 令 人 震惊 的 分 享 代码 ， 可 执行 你 可 能 想不到 的 
任务 。 例 如 ， 可 使 用 JavaScript 应 用 程序 与 手机 设备 的 振动 功能 交互 以 制造 出 特别 的 效果 
(可 在 网 页 https://developer.mozilla.org/en-US/docs/Web/Guide/API/Vibration 上 查看 这 一 技 
术 )。 使 用 正确 的 资源 ， 你 可 以 找到 执行 你 想 要 完成 的 任务 的 API。 下 面 列 出 了 一 些 可 用 于 
查找 你 想 要 的 API 的 位 置 。 


。 {API}Search (http://apis.io/) 
。 40 个 对 Web 设计 师 和 开发 者 有 用 的 API (http://www.webdesignerdepot.com/2011/07/40- 
useful-apis-for-web-designers-and-developers/) 




















。 API Directory (http:/www.programmableweb.com/apis/directory) 

。 API For That (http://www.apiforthat.com/ ) 

。 APIs Dashboard (http:/www.programmableweb.com/apis) 

。 API Data.gov (https://www.data.gov/developers/apis， 点 击 “browse the current catalog for 
APIS” 链 接 ) 

。 Guide to Web API (https:/developer.mozilla.org/en-US/docs/Web/Guide/API) 

。 MashApe (https://www.mashape.com/) 

。 Public API (https:/www.publicapis.com/) 

。 Web API Interfaces (https:Wdeveloper.mozilla.org/en-US/docs/Web/API) 


上 面 只 是 在 线 API 搜索 网 站 的 几 个 代表 。 它 们 当中 的 大 部 分 都 提供 了 对 API 的 评论 ， 某 些 
网 站 还 提供 了 检查 。 在 选择 使 用 某 个 具体 的 API 之 前 ， 请 尽 可 能 多 地 阅读 其 相关 的 信息 。 
































在 测试 系统 里 对 API 进行 测试 。 确 保 使 用 抓 包工 具 ， 对 API 在 你 的 测试 系统 与 主机 之 间 实 
际 传输 的 数据 类 型 进行 验证 。 以 这 样 的 方式 来 测试 API 听 起 来 似乎 有 些 偏执 (请 参阅 7.4 
市 ， 获 取 更 多 详细 信息 )， 但 执行 这 样 的 测试 有 助 于 降低 风险 。 记 住 ， 安 全 通常 是 风险 和 
你 在 承受 风险 中 获取 的 利益 之 间 的 平衡 。 


有 些 API 提供 商 拥有 非常 多 的 API， 它 们 提供 了 自己 的 清单 。 例 如 ，Google 
提供 了 很 多 API， 而 你 会 发 现 它们 都 列 在 了 GData API Directory (https:// 
developers.google.com/gdata/docs/directory) 中 。 重 要 的 是 要 认识 到 很 多 专门 
的 网 站 的 清单 包含 有 偏见 的 信息 ， 所 以 通常 建议 你 找 其 他 网 站 查阅 API 的 功 
能 和 缺陷 。 












































7.2.2 创建 简单 示例 


依靠 API 来 创建 安全 应 用 程序 比 你 想象 的 要 更 加 困难 ， 因 为 即使 是 最 好 的 API 也 要 依靠 
一 定 程度 的 信任 。 你 的 风险 是 要 信任 主机 的 数据 或 主机 提供 的 其 他 资源 。 这 一 市 用 一 个 使 
用 了 Google Maps API 的 例子 来 看 看 安全 问题 是 怎样 产生 的 。 为 了 使 API 可 用 ， 它 还 依赖 
jQuery 和 jQuery UI (http://jqueryui.com/) 库 来 展示 数据 及 相关 的 UI。 你 很 少 会 在 不 依靠 
库 的 情况 下 使 用 API 以 某 种 方式 与 数据 进行 交互 。 


为 了 使 用 这 个 例子 ， 你 必须 获得 一 个 开发 者 密 钥 。Google 提供 了 两 种 密 钥 : 
付费 的 和 免费 的 。 运 行 这 个 例子 你 只 需要 免费 密 钥 。 付 费 密 钥 提供 了 更 多 的 
灵活 性 ， 而 你 可 能 在 你 创建 的 成 熟 应 用 程序 中 需要 用 到 它 。 但 是 ， 就 试验 目 
的 来 说 ,免费 密 钥 足以 很 好 地 工作 。 你 可 以 在 网 页 https://developers.google. 
com/maps/licensing 上 找到 这 一 密 钥 。 在 开始 使 用 Google Maps API 之 前 ， 确 
保 你 完全 理解 了 服务 条 款 。 在 用 JavaScript 使 用 Google Maps API 的 过 程 中 ， 
你 还 能 在 网 页 https://developers.google.com/maps/documentation/javascript/ 
tutorial 上 找到 额外 的 帮助 。 









































最 好 分 儿 步 来 创建 这 个 例子 的 代码 。 第 一 步 是 添加 必需 的 jQuery 引用 ， 如 下 面 的 代码 所 示 。 


<script 
src="https://code.jquery.com/jquery-latest.js"> 
</script> 
<script 
src="https://code.jquery.com/ui/1.9.2/jquery-ui.js"> 
</script> 
<Link 
rel="stylesheet" 
href="https://code.jquery.com/ui/1.9.2/themes/base/jquery-ui.css" /> 


虽然 这 段 代码 引用 了 一 个 外 部 库 ， 但 库 的 代码 是 作为 应 用 程序 的 一 部 分 ， 以 进程 内 元 素 的 
形式 被 包含 进来 的 。 第 6 章 描述 了 关于 库 使 用 的 各 种 安全 问题 。 此 外 ， 你 还 需要 添加 对 
Google Maps API 的 引用 ， 如 下 所 示 。 























<script type="text/javascript" 
src="https://maps.googleapis.com/maps/api/js?key=Your Key Here&sensor=faLse"> 
</script> 


这 个 例子 完全 不 能 生效 ， 除 非 你 将 “Your Key Here” 替 换 成 你 从 Google 
获取 到 的 密 钥 。 因 此 ， 这 一 步 很 重要 ， 因 为 这 是 你 必须 执行 的 一 步 ， 即 
使 你 正在 使 用 从 本 书 网 站 下 载 的 代码 。 


























库 和 API 的 引用 都 依赖 <script> 标签 ， 但 它们 使 用 标签 的 方式 是 不 一 样 的 。 注 意 ， 库 访 
问 一 个 文件 不 需要 额外 的 信息 。 而 API 要 求 某 些 额 外 的 信息 ， 在 这 个 例子 中 包括 一 个 密 铀 
和 一 个 传感器 配置 项 。 随 着 本 市 内容 的 继续 ， 你 还 会 发 现 其 他 的 不 同 。 


当 你 有 了 全 部 所 需 的 引用 之 后 ， 就 轮 到 用 画布 来 画 地 图 了。 画布 就 是 一 个 简单 的 <div>， 
如 下 所 示 。 


</div> 
<div id="MapCanvas"> 
</div> 


你 必须 提供 给 <div> 大 小 的 样式 信息 ， 否 则 ， 即 使 Google 发 送 给 了 你 ， 地 图 也 不 会 出 现 
在 屏幕 上 。 这 个 例子 使 用 了 下 面 的 样式 信息 。 


#MapCanvas 
{ 
height: 90%; 
width:100%; 
} 


除了 画布 ， 这 个 例子 还 为 输入 提供 了 两 个 文本 框 ， 以 及 一 个 按钮 ， 用 来 请 求 新 的 地 图 。 这 
里 界面 并 没有 太 多 复杂 的 东西 ， 但 确实 是 可 以 工作 的 (这 个 例子 预 设 好 会 在 地 图 的 中 心 展 
示威 斯 康 星 州 密尔沃基 的 位 置 ， 你 可 以 将 其 更 换 成 你 想 要 的 其 他 地 点 的 经 度 和 纬度 ) 。 


<div id="Input"> 
<label for="Longitude"> 
Longitude: 
</label> 
<input id="longitude" 
valuyue="-87.95" 
type="text" /> 
<label for="Latitude"> 
Latitude: 
</label> 
<input id="latitude" 
value="43.04" 
type="text" /> 
<input id="submit" 
value="Get Map" 
type="button" /> 
























































</div> 





这 个 例子 的 代码 使 用 了 许多 jQuery 和 jQuery UI 的 功能 ， 你 已 经 在 其 他 的 应 用 中 见 到 过 。 


例如 ， 这 个 应 用 程序 创建 了 一 个 控制 经 度 和 纬度 的 选 值 框 ， 以 便 更 方便 地 逐步 移动 地 
中 心 。 一 次 移动 一 个 完整 的 度数 对 应 用 程序 不 会 有 太 大 用 处 ， 所 以 这 两 个 下 拉 
变 十 分 之 一 和 























图 的 





E 每 次 只 改 
的 度数 (即使 这 样 ， 这 个 度数 可 能 还 是 太 大 了 ， 而 你 可 能 想 要 改变 它 )。 注 意 


step 选项 用 于 执行 这 一 任务 。 在 接 下 来 的 代码 中 ，GetMap() 函数 是 最 重要 的 ， 因 为 它 真正 











将 地 图 展现 在 屏幕 上 。 











$s(function() 


{ 











// 使 用 一 个 选 值 框 来 控制 纬度 


var Latitude = $("#latitude").spinner( 








{ 
min: -90， 
max: 90,， 
step: .1， 


change: function(event, ui) 
{ 
if (Latitude.spinner("value") < -90) 
Latitude.spinner("value", -90); 
if (Latitude.spinner("valuye") > 90) 
Latitude.spinner("value", 90); 
} 
}); 


// 使 用 一 个 选 值 框 来 控制 经 度 


var Longitude = $("#longitude").spinner( 

















{ 
min: -180， 
max: 180， 
step: .1， 


change: function(event, ui) 
{ 
if (Longitude.spinner("vaLue") < -180) 
Longitude.spinner("value", -180); 
if (Longitude.spinner("vaLue") > 180) 
Longitude.spinner("value", 180); 
} 
}); 





// 这 个 函数 会 在 屏幕 上 展示 地 图 
function GetMap() 
{ 








// 构建 发 送 给 Google 的 参数 列表 
var MapOptions = 
{ 
center: new google.maps.LatLng( 
Latitude.spinner("value"), 
Longitude.spinner("value")), 
zoom: 8， 
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mapTypeId: googLe.maps.MapTypeId.ROADMAP 
} 





// 向 Google 提 供 地 图 要 在 屏幕 上 展示 的 位 置 以 及 地 图 的 参数 项 
var map = new google.maps.Map( 
document .getElementById("MapCanvas"), 
MapOptions); 
}; 








// 这 个 例子 提供 了 两 个 获取 地 图 的 方法 :在 页 面 加 载 期 间 获取 ,或 通过 点 击 Get Map 按 钮 获取 
SCwindow) .Load( 
function() 
{ 
GetMap(); 
]); 














$("#submit").click( 
function() 
{ 
GetMap(); 
}); 
}) 


纬度 的 范围 从 北纬 90 度 到 南 纬 90 度 ， 所 以 这 个 例子 反映 了 这 一 需求 。 类 似 
地 ， 经 度 的 范围 从 西 经 180 度 到 东经 180 度 ， 这 个 经 线 位 于 英格兰 的 格林 威 
治 。 你 可 以 在 网 页 http://geography.about.com/cs/latitudelongitude/a/latlong.htm 
上 获取 更 多 关于 经 纬度 的 信息 。 





GetMap() 函数 执行 了 实际 的 获取 地 图 的 任务 。 要 实现 它 ， 你 的 应 用 程序 必须 创建 一 份 地 图 
选项 的 列表 。 这 个 例子 展示 了 一 个 简单 但 典型 的 列表 。 这 些 选 项 中 最 重要 的 就 是 地 图 的 中 
心 在 哪里 。 在 这 个 例子 中 ， 地 图 自动 将 它 的 中 心 置 于 威斯康星 州 的 密尔沃基 ， 但 你 可 以 将 
其 更 改 为 任何 你 想 要 的 位 置 。 这 个 例子 使 用 了 一 个 值 为 8 的 缩放 因子 ， 而 你 可 以 看 到 一 幅 
街道 地 图 。Google Maps API 实际 提供 了 很 多 你 可 尝试 的 地 图 类 型 。 
GetMap() 会 在 两 处 被 调用 。 当 应 用 程序 加 载 时 ， 你 会 看 到 威斯康星 州 的 密尔沃基 (除非 你 
更 改 了 默认 设置 )。 在 更 改 输 入 值 之 后 ， 你 还 可 以 点 击 Get Map 来 展示 新 的 位 置 。 图 7-1 展 
示 了 这 一 应 用 的 典型 输出 。 






























































本 章 不 会 详细 深入 Google Maps API， 它 相当 复杂 。 本 章 会 展示 一 些 简单 
的 例子 ， 你 能 在 稍 后 轻松 地 将 其 扩展 到 成 熟 的 应 用 程序 中 。 现 在 的 许多 
公司 会 为 了 各 种 有 趣 的 目的 而 使 用 地 图 。 网 页 http://blog.smartbear.com/ 
software-quality/bid/242126/using-the-google-maps-api-to-addcool-stuff-to-your- 
applications 上 的 文章 就 如 何在 基于 浏览 器 的 应 用 程序 中 使 用 Google Maps 
API 提供 了 一 些 额 外 的 点 子 。 
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图 7-1: 这 个 例子 能 展示 任何 经 度 和 纬度 的 位 置 


7.3 定义 API 带 来 的 安全 威胁 


作为 一 名 开发 人 员 ， 知 道 你 可 能 面 对 什么 类 型 的 API 威胁 是 很 重要 的 。 虽 然 接 下 来 的 几 个 
小 市 可 能 没有 包含 最 近 的 API 威胁 ， 但 它们 确实 涵盖 了 各 种 各 样 的 威胁 ， 并 且 提 供 了 可 帮 
助 你 查找 最 新 威胁 所 需 的 信息 。 这 些 真 实 的 案例 可 能 会 让 你 理解 你 将 遇 到 什么 样 的 问题 。 


7.3.1 MailPoet 毁 了 你 的 好 声誉 


很 多 人 都 会 花 大 量 时 间 关 注 博 客 。 我 会 用 我 的 博客 (http://blog.johnmuellerbooks.com/) 跟 
读者 交流 并 告诉 人 们 我 自身 最 近 的 努力 情况 。 你 可 以 找到 关于 任何 目的 和 任何 主题 的 博 
客 。 人 们 将 他 们 的 声誉 放 在 博客 上 ， 作 为 帮助 世界 成 为 一 个 整体 的 方式 。 所 以 ， 当 博客 的 
插件 ， 比 如 MailPoet (http://www.mailpoet.com/)， 出 现 问 题 时 ， 会 影响 每 个 使 用 它 的 博客 
的 声誉 。 准 确 地 说 ，MailPoet 插件 问题 发 生 在 2014 年 7 月 1 日 。 


其 缺陷 允许 攻击 者 通过 远程 上 传 将 任何 PHP 文件 放置 到 系统 中 (http://blog.sucuri.net/2014/07/ 
remote-file-upload-vulnerability-on-mailpoet-wysija-newsletters.html) ， 这 意味 着 你 的 博客 现在 可 
能 会 用 其 过 去 经 常 提供 的 信息 发 起 钓鱼 攻击 (http://wptavern.com/wordpress-mailpoet-plugin- 
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security-vulnerability-immediate-update-recommended) 。 最 开始 这 种 黑客 行为 会 导致 网 站 在 某 些 情 
况 下 崩 涡 ， 但 这 个 缺陷 已 经 被 修复 ， 所 以 除非 你 很 警惕 ， 否 则 可 能 不 会 知道 自己 已 经 被 黑 。 
这 个 缺陷 的 问题 在 于 ， 发 现 问 题 的 实体 (Sucuri) 在 揭露 这 一 问题 之 前 没有 给 MailPoet 足 
够 的 时 间 去 修复 并 分 发 修复 补丁 (http://www.mailpoet.com/sucuri-hack-lessons-learned/)， 
所 以 存在 很 多 互相 推卸 责任 的 情况 。 这 个 插件 已 经 被 下 载 17 000 000 次 ， 但 会 被 用 在 某 些 
人 的 多 个 博客 上 ， 所 以 它 有 很 大 可 能 会 导致 问题 。MailPoet 的 威胁 是 一 个 在 你 开始 开发 之 
前 需要 验证 API 的 安全 性 并 且 在 继续 使 用 时 需要 进行 持续 检查 的 例子 。 


在 安全 问题 报告 领域 存在 着 很 严重 的 问题 。 某 些 白 帽 黑 客 过 度 考虑 自己 的 声 
誉 ， 他 们 会 报告 重要 的 问题 ， 却 在 发 布 信息 前 不 给 API 提供 商 足 够 的 时 间 去 
修复 问题 ， 从 而 导致 其 他 黑客 很 喜欢 的 零 日 攻击 。 类 似 地 ， 某 些 API 提供 商 
迟 迟 不 着 手 修复 能 导致 安全 问题 的 bug， 这 意味 着 黑 帽 黑客 可 以 在 bug 被 修 
复 之 前 发 现 它们 〈 再 一 次 导致 零 日 攻击 )。 进 行 披露 的 白 帽 墨客 现在 就 能 推 外 
责任 ， 并 告诉 每 个 人 他 们 已 经 让 提供 商 意识 到 了 问题 。 可 能 解决 这 一 问题 的 
一 个 方法 是 制定 安全 问题 报告 和 修复 的 标准 方法 ， 这 样 每 个 人 就 能 协同 工作 
来 保证 软件 更 加 安全 。 遗 憾 的 是 ， 在 本 书 编写 时 其 至 还 没有 讨论 这 一 方案 。 

































































7.3.2 ”开发 阅 后 即 焚 的 图 片 
Snapchat (https:Wwww.snapchat.com/) 是 一 种 很 好 的 以 短暂 方式 与 别人 交换 图 片 的 途径 。 
这 个 服务 的 目标 是 让 信息 在 一 个 较 低 风险 的 环境 中 自由 流动 。 当 每 个 人 都 遵守 规则 时 它 
确实 是 有 效 的 ， 但 不 是 每 一 个 人 都 能 遵守 [如 Snapchat 的 安全 课堂 (http://blog.smartbear. 
com/apis/readyapi/security-lessons-courtesy-of-snapchat/) 所 解释 的 那样 ] 。 


由 于 第 三 方 库 的 缺陷 ，API 很 容易 被 黑 。Snapchat 最 近 作出 了 回应 (http:/www.computerworld. 
com/article/2846038/snapchat-to-ask-users-to-stop-using-unauthorized-apps.html) ， 它 警告 用 户 不 要 
下 载 那 些 允 许 其 破坏 内 在 规则 的 第 三 方程 序 ， 而 不 是 真 的 解决 这 一 问题 。 在 这 种 情况 下 没有 
提供 稳定 API 的 后 果 是 90 000 多 张 照片 的 泄露 ， 这 些 照片 可 能 会 比 任何 知情 的 人 透露 的 信息 
都 要 多 。 让 我 们 讨论 一 下 名 誉 的 损失 ! 当然 ， 勒 索 金钱 的 事情 会 发 生 ， 并 且 不 太 可 能 会 有 人 
可 以 跟踪 金钱 方面 的 影响 ， 因 为 没有 人 愿意 谈论 它 。 

这 个 API 被 黑 的 事件 简 而 言 之 就 是 没有 付费 使 用 某 些 服务 ， 无 论 它们 看 起 来 多 么 吸引 人 。 这 
个 威胁 揭示 了 在 你 开始 用 API 开发 之 前 需要 检查 一 下 提供 商 的 声誉 。 此 外 ， 它 还 表明 你 需要 
在 使 用 API 之 前 先 研 究 一 下 它 ， 因 为 很 多 黑客 在 行业 杂志 报道 之 前 已 经 知道 了 这 一 人 缺陷 。 


7.3.3 ”使 用 “ 找 回 我 的 Phone” 却 丢 了 手机 

“ 找 回 我 的 iPhone” (https:/www.apple.com/icloud/find-my-iphone.html) 可 以 在 你 弄 丢 iPhone 
时 提供 保护 。 你 可 以 定位 你 的 iPhone， 看 看 它 在 什么 地 方 ， 并 不 让 别人 偷 突 信 息 。 但 是 ， 
Apple 没有 非常 安全 地 访问 iCloud， 这 是 提供 “ 找 回 我 的 Phone” 支 持 的 服务 。 它 很 容易 
遭受 暴力 破解 攻击 ， 攻 击 者 不 停 地 尝试 密码 直到 某 一 个 密码 成 功 为 止 。 

有 些 黑 客 发 现 了 这 一 漏洞 并 用 它 来 锁定 别人 的 iPhone (http://ifwnewsletters.newsletters. 
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infoworld.com/t/9545692/122348447/801278/52/)。 需 要 付出 100 美元 ， 受 害 者 才能 使 它们 
的 iPhone 解锁 。 如 果 受 害 者 拒绝 ， 黑 客 就 会 声称 要 清除 所 有 数据 。 不 花 钱 解决 这 一 问题 
的 唯一 方法 是 将 设备 重新 设 为 出 三 设置 。 幸 运 的 是 ， 这 个 故事 有 一 个 开心 的 结局 : 黑客 已 
经 被 巡捕 了 (http:/www.computerworld.comyarticle/2490607/cybercrime-hacking/the-hackers- 
behind-those-iphone-ransom-attacks-have-been-arrested-in-russia.html) 。 没 有 人 谈论 有 多 少 人 
支付 了 这 笔 费 用 ， 有 多 少 人 丢失 了 他 们 的 数据 ， 或 有 多 少 人 的 手机 被 黑 了 ， 但 制造 了 这 么 
一 个 大 新 闻 ， 数 量 肯定 不 少 。 


这 个 威胁 是 一 个 需要 检查 输入 和 输出 的 案例 。 只 要 想 想 API 是 怎样 工作 的 ， 开 发 人 员 就 有 
可 能 很 快 找 出 暴力 破解 的 攻击 方法 ， 进 而 避免 渤 在 的 问题 。 

















7.3.4 ”Heartbleed 泄 露 你 最 重要 的 信息 


你 依靠 安全 套 接 层 (Secure Sockets Layer，SSL) 在 客户 端 与 服务 器 之 间 提 供 安全 的 通信 。 
不 幸 的 是 ， 与 其 他 软件 一 样 ，SSL 会 包含 缺陷 。 在 这 个 例子 里 ,在 1.0.1 到 1.0.1f 版 本 的 
OpenSSL (https://www.openssl.org/) 中 ， 使 用 一 个 称 为 heartbeat 的 特性 ， 会 允许 攻击 者 获 
取 用 户 密码 和 用 于 加 密 通 信 的 长 期 私 钥 。 


根 据 InfoWorld (http://www.infoworld.com/article/2608736/data-security/heartbleed-to-blame- 
for-community-health-systems-breach.html) 的 报道 ，Heartbleed 应 该 为 泄露 15 000 000 个 
病人 记录 的 社区 健康 系统 (http://www.chs.net/media-notice/) 事故 负责 。 这 一 事故 造成 
的 经 济 损失 高 达 1.5 亿美 元 (http://venturebeat.com/2014/08/25/community-health-systems- 
breach-could-cost-up-to-150-million/)。Heartbleed 的 有 趣 之 处 在 于 它 有 很 强 的 后 劲 。 根 据 
ComputerWorld (http://cwonline.computerworld.com/t/8953013/1084055737/677451/17/) 的 报 
道 ， 直 到 2014 年 6 月 24 日 ,仍然 有 300 000 台 服 务 器 受到 Heartbleed 的 影响 ( 离 4 月 份 
发 现 这 一 缺陷 有 很 长 的 时 间 来 打 补 丁 )。Heartbleed 缺陷 如 此 严重 ， 以 致 于 它 提供 了 自己 的 
信息 网 站 (http://heartbleed.com/)。 


你 应 该 将 这 一 威胁 看 作 警 钟 ， 不 要 再 相信 任何 API 以 保证 安 人 全。 黑客 在 持续 地 试 水 来 看 看 
他 们 能 得 到 些 什么 。 在 这 种 情况 下 ， 对 API 的 持续 测试 可 能 可 以 在 缺陷 变 成 问题 前 先 获 取 
其 相关 的 信息 。 当 然 ， 仅 仅 依靠 一 种 安全 手段 可 能 不 是 明智 的 做 法 。 



























































7.3.5 ”遭受 Shellshock 攻 击 


某 些 专家 宣传 Shellshock 比 Heartbleed 更 糟糕 (http://www.eweek.com/news/why-shellshock- 
bug-is-way-nastier-than-heartbleed.html) 。 当 两 者 都 非常 糟糕 且 影响 了 大 量 的 服务 器 时 ， 很 
难说 哪 一 个 比 另 一 个 更 坏 。 在 这 个 案例 中 ， 用 于 Linux 管理 器 的 bash 工具 中 的 一 个 bug 可 
通过 创建 格式 不 对 的 环境 变量 被 黑 ， 然 后 可 运行 一 段 bash 脚本 。 对 这 一 功能 的 访问 可 通过 
公共 网 关 接 口 (Common Gateway Interface，CGI) 或 PHP 提供 。 

这 一 黑客 行为 的 最 大 限制 因素 在 于 甚 不 是 自动 可 被 利用 的 (http:Wwww.infoworld.comy 
article/2687975S/security/four-no-bull-facts-to-know-about-the-shellshock-bash-bug.html) ， 必 需 有 
访问 服务 器 的 外 部 接口 。 有 些 报告 说 ,如 Yahoo! (http://www.bloomberg.com/asia) 和 WinZIP 
(http://arstechnica.com/security/2014/10/white-hat-claims-yahoo-and-winzip-hacked-by-shellshock- 
exploiters/) 这 样 的 大 公司 已 经 通过 Shellshock 被 黑 了。 潜在 的 Shellshock 攻击 很 多 ， 因 为 受 
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影响 的 服务 器 数量 多 于 受 Heartbleed 影响 的 服务 器 。 此 外 ， 一 个 可 用 的 补丁 要 花 很 长 时 间 
才能 开发 出 来 (http://www.infoworld.com/article/2687750/security/attacks-against-shellshock- 
continue-as-updated-patches-hit-the-web.html)， 虽 然 现 在 已 经 有 了 一 个 (http:/www.eweek. 
com/security/shellshock-vulnerability-finally-patched-as-exploits-emerge.htm!l ) 。 


这 是 一 个 要 将 数据 严密 保管 的 例子 。 通 过 提供 关键 数据 的 外 部 接口 ， 公 司 会 将 自己 置 于 数 
据 丢失 的 风险 中 。 保 持 敏 感 数 据 的 严密 是 确保 其 安全 的 唯一 方法 。 当 然 ， 你 需要 让 某 些 数 
据 可 访问 ， 但 这 应 该 是 最 后 的 选择 且 你 应 该 只 让 必需 的 数据 可 被 访问 。 


7.4 通过 JavaScript 安 全 访问 API 


如 果 你 首先 执行 某 种 测试 ， 是 可 以 用 JavaScript 安全 地 访问 API 的 。 当 然 ， 测 试 会 花费 时 
间 ， 并 且 你 可 能 会 在 花 时 间 确 保 API 是 正常 工作 的 过 程 中 遭遇 阻碍 。 你 唯一 需要 做 的 就 是 
问 问 公司 数据 的 价值 与 测试 所 花 时 间 比 起 来 哪个 更 值 。 答 案 通 常 是 明显 的 ， 数 据 总 是 比 测 
试 时 间 更 有 价值 。 为 此 ， 接 下 来 的 几 个 小 节 描 述 了 一 些 安全 使 用 API 的 方法 。 


7.4.1 验证 API 的 安全 性 

7.3 节 描 述 了 API 带 给 开发 人 员 的 某 些 威胁 。 遗 憾 的 是 ， 行 业 媒体 通常 在 你 使 用 API 实现 
了 某 一 方案 后 才 报 道 出 这 些 威胁 ， 令 你 很 难 在 不 消耗 大 量 开支 的 情况 下 更 换 正 在 使 用 的 
API。 但 是 ， 通 过 查找 其 有 关 资 料 来 验证 当前 的 API 是 干净 的 ， 通 常 是 一 个 好 的 开端 。 
提供 商 在 安全 方面 的 声誉 也 是 值得 一 看 的 。 新 的 提供 商 没 有 经 过 测试 ， 因 此 不 大 可 靠 。 比 
起 在 市 场 上 已 有 产品 且 经 过 多 次 测试 的 提供 商 来 说 ， 使 用 新 提供 商会 有 更 高 的 风险 。 在 与 
经 验 丰 富 的 提供 商 的 对 比 中 ， 一 个 事实 部 分 抵消 了 新 提供 商 的 劣势 ， 那 就 是 黑客 会 卓 准 市 
场 份额 较 大 的 提供 商 ， 以 增 大 获得 真正 有 用 东西 的 机 会 来 作为 他 们 付出 努力 的 回报 。 

API 的 构建 方式 、 提 供 的 文档 以 及 调用 所 需 的 输入 数量 都 反映 了 其 提供 的 安全 级 别 。 为 
Google 提供 的 某 个 服务 进行 注册 是 一 件 麻 烦 事 ， 但 你 必须 使 用 一 个 密 钥 来 访问 API， 这 至 
少 能 减少 一 点 API 的 攻击 面 。 此 外 ，Google API 不 会 让 你 提供 敏感 的 数据 ， 但 黑客 可 能 只 
通过 查看 你 的 请 求 就 能 发 掘 出 某 些 数据 。 例 如 ， 请 求 某 一 经 度 和 纬度 的 地 图 可 能 意味 着 ， 
在 这 一 地 点 有 新 的 商业 投资 机 会 ， 或 其 他 原因 引起 关注 度 的 提升 。 
把 Google API 作为 本 章 的 例子 是 一 个 很 好 的 选择 ， 因 为 Google 在 安全 性 方面 有 很 好 的 声 
誉 。 此 外 ， 在 大 部 分 情况 下 很 容易 验证 你 真 的 是 在 与 Google 进行 交互 ， 且 你 接收 到 的 结果 
是 正确 的 类 型 。Google 的 文档 可 帮 你 执行 各 种 检查 来 使 得 验证 API 的 安全 变 得 更 加 简单 。 


在 检查 API 的 安全 性 时 ， 不 要 忘记 要 把 通信 的 需求 记 在 心间 。 很 重要 的 是 要 
确保 提供 商 提 供 了 SSL 数据 加 密 ， 以 及 通过 使 用 双向 SSL 认证 来 确保 双方 
都 知道 自己 在 跟 谁 对 话 。 

但 是 ， 不 要 让 安全 的 通信 自身 变 成 一 种 潜在 的 安全 问题 。 黑 客 可 以 并 且 真 的 
会 偷 取证 书 ， 这 样 他 们 就 能 提供 所 需 的 加 密 信息 以 验证 一 个 安全 的 通信 。 你 
永远 不 会 真正 知道 谁 在 网 络 的 另 一头 。 你 所 能 做 的 就 是 提供 必要 的 安全 性 ， 
然后 希望 安全 性 足以 强大 到 令 大 部 分 黑客 无 计 可 施 。 




















































































































































































































7.4.2 ”测试 输入 和 输出 

一 个 简单 的 验证 API 可 用 性 和 安全 性 的 方法 就 是 简单 地 测试 已 知 的 输入 输出 。 检 查 已 知 的 
命 入 和 输出 以 确保 API 正常 地 工作 。 你 可 能 会 惊讶 地 发 现 某 些 API 真 的 不 能 正常 地 工作 。 
在 某 些 情况 下 ， 这 一 问题 可 能 并 非 是 编码 错误 ， 而 是 没有 理解 API 是 如 何 工 作 的 。 

当然 ， 很 多 公司 会 在 应 用 程序 的 初始 设计 和 开发 阶段 执行 输入 /输出 测试 。 但 是 ， 创 建 一 
个 测试 框架 可 让 你 随机 地 执行 测试 。 这 一 方法 的 好 处 是 ， 这 种 测试 可 以 帮 你 检测 出 潜在 的 
数据 损坏 或 其 他 潜在 的 安全 问题 。 阳 一 段 时 间 运 行 测 试 可 帮 你 确保 API 是 可 用 的 。 这 些 测 
试 还 能 去 除 窃听 者 可 能 对 你 对 API 进行 的 查询 做 出 的 任何 结论 。 

本 章 的 Google Maps API 的 例子 也 包含 了 验证 输入 和 输出 数据 的 代码 。 为 了 让 应 用 程序 更 
容易 理解 ， 这 些 检 查 被 去 掉 了 。 但 是 在 现实 的 应 用 程序 中 ， 你 需要 在 提交 数据 之 前 测试 它 
门 并 且 要 验证 你 得 到 了 你 希望 得 到 的 返回 值 。 当 然 ， 不 可 能 去 专门 检查 这 一 数据 ， 因 为 地 
图 在 每 一 次 调用 时 都 会 改变 。 


重要 的 是 要 确保 随 着 时 间 的 推移 你 使 用 的 API 是 保持 一 致 的 。 在 某 些 情况 下 ， 
提供 商会 发 布 一 个 API 更 新 ， 引 入 有 破坏 性 的 更 改 。 这 一 更 改 可 能 很 小 ， 以 
至 于 你 一 开始 并 设 有 注意 到 它 ， 但 黑客 可 能 会 在 寻找 潜在 的 安全 漏洞 时 注意 
到 它 并 加 以 利用 。 定 期 执行 输入 和 输出 测试 可 通过 验证 API 在 持续 地 正常 工 
作 ， 帮 你 消除 这 类 问题 ， 即 使 提供 商 执 行 了 意料 之 外 的 更 新 。 
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7.4.3 ”保持 数据 的 局 部 性 和 安全 性 

你 发 送 给 API 的 数据 越 多 ， 别 人 截获 数据 的 几率 就 越 高 。 数 据 不 需要 以 在 途中 被 拦截 的 广 
式 来 展示 问题 。 如 果 数 据 最 终 存在 于 主机 服务 器 上 ， 那 任何 访问 这 台 服 务 器 的 人 也 可 能 访 
问 到 这 些 数据 。 保 持 秘 密 的 最 好 方式 就 是 不 告诉 任何 人 。 尽 可 能 少 地 与 API 分 享 数据 是 好 
的 做 法 。 

Google API 所 使 用 的 编码 密 钥 是 一 个 很 好 的 安全 措施 ， 因 为 它 肯定 能 辩 别 出 你 的 公司 。 但 
是 ， 密 钥 很 重要 还 有 其 他 的 原因 。 在 某 些 情况 下 ， 其 他 API 会 使 用 黑客 可 对 公司 进行 追踪 
的 识别 码 。 任 何 拦截 到 Google 密 钥 的 人 都 不 会 了 解 到 更 多 与 你 的 公司 相关 的 信息 。 


Amazon.com 是 黑客 可 根据 API 要 求 的 输入 追踪 到 相关 公司 信息 的 一 个 例子 。 有 些 API 过 
去 常常 依靠 与 公司 相关 的 识别 码 ， 这 些 识别 码 还 会 被 附 在 购买 产品 的 链接 上 。 黑 客 很 容易 
发 现 这 一 识别 码 并 能 开始 追踪 公司 的 API 调用 。 


7.4.4 防御 性 编码 


当 开 发 应 用 程序 时 ， 通 常 要 假设 输入 和 输出 都 是 错误 的 ， 用 户 错误 地 处 理 各 种 事情 ， 而 且 
黑客 正 趴 在 你 的 肩膀 上 偷 宪 。 是 的 ， 为 了 避免 一 些 在 应 用 程序 中 普遍 存在 的 问题 ， 开 发 人 
员 需 要 培养 一 种 真正 的 偏执 狂 意 识 。 在 阅读 本 书 时 ， 你 看 到 了 API 沙 盒 等 有 用 的 技术 可 用 
于 确定 在 与 API 交互 时 情况 可 糟糕 到 怎样 的 地 步 。 重 要 的 是 不 要 对 代码 做 任何 假设 ， 即 使 
是 你 写 的 代码 。 
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考虑 使 用 微服 务 





微服 务 是 一 种 相对 较 新 的 技术 ， 它 会 将 一 个 大 应 用 程序 分 解 成 多 个 小 模块 。 每 个 小 模块 独 
并 运行 并 只 执行 单一 任务 。 由 于 微服 务 所 依靠 的 技术 以 及 其 运行 的 方式 ， 微 服务 提供 的 安 
全 性 会 比 本 书目 前 为 止 提 到 的 其 他 技术 更 高 。 但 是 ， 与 其 他 技术 一 样 ， 微 服务 也 会 给 墨客 
制造 问题 的 机 会 。 重 要 的 是 要 记 住 任何 技术 都 有 让 届 客 可 利用 来 做 坏事 的 漏洞。 开发 人 员 
的 目标 是 要 将 这 些 漏洞 减 至 最 少 ， 并 确保 有 尽 可 能 多 的 防护 措施 来 帮助 执行 监控 过 程 。 


因为 微服 务 很 新 ， 所 以 本 章 会 伦比 平时 略 多 的 时 间 来 介绍 它 。 本 书 不 会 为 你 提供 关于 微服 
务 的 完整 介绍 ， 但 你 应 该 获取 足够 的 信息 来 了 解 使 用 微服 务 的 安全 意 洱 ， 而 不 是 固守 你 在 
过 去 使 用 的 旧 技 术 。 此 外 ， 考 虑 人 们 在 微服 务 场景 中 扮演 的 角色 是 很 重要 的 。 对 微服 务 部 
署 的 敌视 态度 会 导致 一 些 安全 问题 ， 这 些 问 题 是 你 在 开发 阶段 就 需要 考虑 的 。 
本 章 会 探讨 你 可 能 会 如 何 创建 自己 的 微服 务 (但 不 会 给 出 源 代码 ， 因 为 本 书 是 关于 安全 
的 ， 而 不 是 关于 开发 微服 务 的 )。 这 里 的 例子 用 Node.js 和 Seneca 来 创建 一 个 简单 的 微服 
务 ， 然 后 通过 一 个 页 面 来 访问 微服 务 。 这 个 例子 主要 是 要 讨论 微服 务 如 何 工 作 ， 以 便 你 更 
好 地 理解 接 下 来 要 讨论 的 安全 相关 内 容 。 结 合 使 用 Node.js 和 Seneca 的 原因 是 这 些 应 用 程 
序 可 以 在 Mac、Windows 和 Linux 平台 上 运行 。 其 他 的 微服 务 产品 ， 比 如 Docker， 目 前 只 
能 在 Linux 系统 上 运行 。 
本 章 最 后 会 探讨 拥有 多 个 微服 务 访问 途径 的 重要 性 。 使 用 微服 务 的 一 个 好 处 是 你 可 以 使 用 
同一 个 微服 务 的 多 个 副本 来 降低 应 用 程序 失败 的 风险 。 简 言 之 ， 微 服务 会 比 单一 应 用 程序 
更 加 安全 和 可 靠 。 
研究 本 章 所 描述 示例 的 最 好 方式 是 使 用 可 下 载 的 代码 ， 而 不 是 手动 键入 这 
些 代码 。 使 用 下 载 的 代码 可 减少 潜在 的 错误 。 你 能 在 下 载 的 代码 的 \S4WD\ 
Chapter08 目录 下 找到 本 章 的 例子 。 
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8.1 定义 微服 务 


只 能 在 单一 平台 上 工作 的 应 用 程序 最 终 会 失去 大 部 分 用 户 。 是 的 ， 它 们 会 为 特别 的 需求 而 
继续 存在 ， 但 大 部 分 用 户 日 常 依赖 的 应 用 程序 不 会 担心 平台 、 编 程 语言 要 求 或 应 用 如 今 需 
要 券 虑 的 其 他 事情 。 微 服务 在 当今 的 编程 环境 中 可 以 工作 得 很 好 ， 因 为 它 定 义 了 一 种 新 的 
看 待 代 码 的 方式 。 不 需要 操心 如 何 创建 代码 、 将 代码 放 到 什么 地 方 或 采用 什么 语言 ， 开 发 
人 员 只 需要 考虑 这 段 代码 所 执行 的 单一 任务 。 这 个 任务 可 能 在 此 刻 并 不 一 定 适合 应 用 程 
序 ， 它 可 能 只 是 展示 了 一 些 应 用 程序 在 处 理 数据 时 需要 做 的 有 趣事 情 。 在 应 用 程序 开发 的 
新 时 代 ， 由 于 微服 务 等 技术 的 出 现 ， 应 用 程序 会 在 任何 时 间 在 任何 地 点 运行 。 接 下 来 会 概 
述 什么 是 微服 务 以 及 你 为 什么 需要 关心 它们 。 


8.1.1 详 述 微 服务 的 特点 


许多 开发 人 员 习 惯 于 严重 依赖 面向 对 象 编程 (object-oriented programming，OOP) 技术 来 
进行 整体 性 设计 。 开 发 任何 应 用 程序 都 始 于 定义 各 种 对 象 和 考虑 各 种 问题 。 目 前 的 应 用 程 
序 设计 需要 大 量 的 前 期 时 间 来 启动 ， 且 它们 被 绑 定 到 特定 的 平台 上 。 微 服务 则 不 同 。 没 有 
大 量 的 代码 ， 你 只 需要 写 很 少 的 代码 ， 并 且 在 进一步 的 开发 过 程 中 才 作 很 多 决定 ， 而 不 是 
在 开始 阶段 就 作 决定 。 微 服务 具有 以 下 特征 。 
oS 

每 个 微服 务 只 执行 一 个 任务 。 
。 语言 独立 

每 个 微服 务 使 用 最 适合 它 要 执行 的 任务 的 语言 ， 而 不 会 考虑 其 他 微服 务 的 需求 。 
。 数据 传输 独立 

虽然 大 部 分 微服 务 目前 都 依赖 JSON 来 传输 数据 ， 但 你 可 以 使 用 任何 最 适合 具体 微服 务 

的 数据 传输 方式 。 







































































be 队列 消 息 
微服 务 的 通信 通常 采用 异步 消息 系统 ， 所 以 没有 哪个 微服 务 会 导致 整 个 应 用 程序 的 延迟 。 
。 条 管道 


现今 的 许多 通信 方式 存在 的 一 个 问题 是 管道 智能 化 。 微 服务 依靠 和 管道 以 及 智能 服务 。 
许多 微服 务 采 用 REST (Representational State Transfer， 表 述 性 状态 转移 ) 协议 进行 通信 。 
。 分 散 模 式 
每 个 微服 务 与 其 他 微服 务 是 隔离 的 ， 并 且 与 应 用 程序 也 是 分 开 的 。 某 个 微服 务 的 失败 通 
常 不 会 影响 到 应 用 程序 的 操作 。 每 个 微服 务 接受 独立 的 监控 。 
。 与 平台 无 关 
任何 应 用 程序 都 能 使 用 微服 务 ， 无 论 该 应 用 程序 及 微服 务 在 什么 平台 上 运行 。 
你 可 能 想 知 道 微服 务 的 大 小 ， 也 就 是 只 执行 单一 任务 的 真正 含义 。 想 想 一 个 字符 串 的 处 
理 。 当 使 用 某 个 一 体 化 应 用 程序 时 ， 会 有 一 个 单独 的 对 象 来 处 理 首 字母 大 写 、 反 转 以 及 将 
字符 串 转换 成 数字 等 操作 。 当 使 用 微服 务 时 ， 你 会 为 每 个 任务 创建 一 个 单独 的 微服 务 。 例 
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如 ， 一 个 微服 务 执行 字符 串 的 首 字母 大 写 操作 ， 而 另 一 个 负责 字符 串 反 转 ， 还 有 一 个 将 其 
转 成 数字 。 当 你 考虑 微服 务 时 ， 就 要 想到 聚焦 以 及 小 规模 。 


从 开发 人 员 的 角度 来 说 ， 微 服务 代表 着 在 灵活 性 和 模块 化 方面 的 极致 。 你 有 可 能 在 某 一 个 
时 间 只 使 用 单一 的 一 个 函数 而 不 干扰 任何 其 他 的 配置 。 此 外 ， 因 为 微服 务 的 更 新 很 小 ， 所 
以 不 会 像 API 一 样 需要 花费 你 大 量 的 时 间 和 精力 。 当 出 现 错误 时 ， 修 正 也 是 一 个 小 得 多 的 
问题 。 


8.1.2 ”区 分 微服 务 与 库 


认识 到 微服 务 并 不 像 库 那 样 以 进程 内 方式 运行 是 很 重要 的 。 微 服务 像 API 一 样 在 某 台 服务 
器 上 运行 。 这 意味 着 你 在 使 用 微服 务 时 不 会 有 使 用 库 时 碰 到 的 安全 风险 。 你 可 以 完全 将 应 
用 程序 的 代码 与 微服 务 分 离开 。 


微服 务 的 调用 语法 也 与 库 不 同 ， 你 要 创建 一 个 JSON 请 求 并 将 其 发 送 到 服务 器 端 。 响 应 也 
会 是 JSON 格式 的 。JSON 的 使 用 让 我 们 能 够 以 不 依赖 XML 的 更 丰富 的 方式 进行 工作 。 使 
用 JSON 比 使 用 XML 简单 得 多 ， 因 为 JSON 对 于 JavaScript 是 原生 的 并 且 有 更 轻 量 级 的 语 
法 。 你 会 在 本 章 后 面 的 部 分 看 到 它 是 如 何 工作 的 。 而 现在 ， 你 只 需要 知道 在 大 部 分 情况 下 
微服 务 不 同 于 库 的 调用 。 

从 安全 的 角度 来 说 ， 微 服务 会 比 库 更 安全 ， 因 为 它们 不 是 以 进程 内 的 方式 执行 ， 并 且 你 上 
以 通过 使 用 JSON 的 最 佳 实践 方法 来 避免 大 部 分 错误 数据 输入 形式 。 当 然 ， 黑 客 可 以 破坏 
你 为 安全 所 做 的 努力 ， 而 微服 务 也 不 会 例外 。 


8.1.3 区 分 微服 务 与 API 


API 常常 要 求 你 创建 一 个 对 象 ， 然 后 调用 这 个 对 象 。 请 求 可 以 有 许多 形式 ， 如 REST、 
HTML 请 求 头 或 XML。 响应 会 涉及 对 页 面 对 象 的 直接 操作 (如 第 7 章 展示 的 Google Maps 
API 的 例子 )。 这 个 过 程 是 很 麻烦 的 ， 因 为 你 在 使 用 大 量 不 一 致 的 一 体 化 代码 。 

与 API 一 样 ， 微 服务 也 是 在 进程 外 执行 的 。 但 是 与 API 不 同 的 是 ， 微 服务 并 不 是 大 块 的 一 
体 化 代码 。 每 个 微服 务 都 是 很 小 的 ， 并 且 在 自己 的 进程 内 运行 ， 这 使 得 可 以 完全 保证 一 个 
国 数 与 另 一 个 了 国 数 是 隔离 的 。 数 据 交 换 只 使 用 一 种 形式 ， 就 是 JSON， 这 似乎 是 现在 最 好 
的 方法 ， 因 为 它 比 使 用 XML 简单 。 


8.1.4 考虑 微服 务 的 策略 

现在 你 知道 微服 务 为 开发 人 员 、IT 以 及 整个 公司 都 提供 了 很 多 好 处 。 使 用 微服 务 是 有 意义 
的 ， 因 为 它 可 以 创建 在 任何 地 点 任何 设备 上 都 能 运行 的 应 用 程序 ， 而 不 会 给 开发 人 员 人 制造 
太 多 麻烦 。 不 垃 的 是 ， 一 体 化 应 用 程序 开发 场景 会 创造 一 片 封 地 ， 在 这 片 封地 里 某 一 级 别 
的 管理 者 可 以 支配 他 们 自己 的 特定 资源 。 因 为 微服 务 很 小 ， 可 方便 地 服务 于 各 种 目的 ， 并 
且 不 会 在 意 所 需 的 数据 来 自 哪 里 ， 所 以 它们 打破 了 公司 团队 之 间 的 围墙 , 破坏 了 过 去 被 支 
配 的 各 种 封地 。 在 这 种 情况 下 ， 某 种 程度 的 斗争 ， 黄 至 是 破坏 的 发 生 是 在 所 难免 的 。 


等 式 中 被 破坏 的 部 分 是 你 作为 开发 人 员 需 要 考虑 的 。 不 太 可 能 有 人 会 专门 伦 时 间 去 破坏 一 
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个 微服 务 项 目 ， 但 在 完成 任务 或 正确 做 事 方面 的 微小 阻力 会 很 容易 破坏 它 。 所 有 公司 在 面 
对 新 技术 时 都 会 有 一 种 “我 们 之 前 从 来 没有 这 样 做 过 ”的 态度 ,惯性 在 人 们 的 每 次 努力 中 
都 扮演 着 一 定 的 角色 ， 所 以 在 开始 你 的 第 一 个 项 目 时 ， 必 须 找到 克服 惯性 的 方法 。 

如 果 你 的 公司 成 为 了 黑客 的 目标 〈 或 者 有 时 候 是 通过 偶然 的 机 会 发 现 的) ， 那 么 从 安全 的 
角度 来 看 ， 在 项 目 早期 阶段 包含 的 漏洞 会 留 给 黑客 彻底 了 解 它 并 几乎 肯定 能 加 以 利用 的 机 
会 。 为 此 ， 将 某 个 微服 务 策略 添加 到 你 的 编程 工具 箱 中 时 ， 遵 循 一 个 流程 是 有 帮助 的 〈 你 
不 必 精确 地 遵循 下 面 列 出 的 步 又 ,但 它们 会 帮 你 克服 在 使 用 微服 务 时 遇 到 的 各 种 阻力 )。 


(1]) 组 建 一 支 负责 微服 务 开 发 的 团队 ， 让 他 们 与 目前 维护 一 体 化 应 用 程序 的 团队 分 开 。 

(2) 从 为 一 个 新 的 应 用 功能 创建 一 些 粗 粒度 的 微服 务 开始 做 起 。 

(3) 一 开始 开发 提供 自 包 含 业务 功能 的 微服 务 ， 这 样 你 就 不 用 太 担 心 互动 的 问题 。 

(4) 给 现 有 团队 提供 足够 的 时 间 去 发 现 如 何 使 用 微服 务 并 开始 将 它们 用 于 现 有 应 用 程序 中 。 
但 在 你 有 足够 的 成 功 经 验 使 每 个 人 都 同意 之 前 ， 不 要 完全 将 现 有 应 用 程序 迁移 到 微服 
务 。 

(5) 随 着 最 初 的 微服 务 开发 的 进行 ， 你 会 发 现 有 哪些 地 方 需要 改变 ， 创 建 细 粒度 的 微服 务 会 
产生 更 好 的 效果 。 

(6) 标准 化 服务 模板 ， 这 样 就 可 以 在 最 小 化 团队 沟通 成 本 的 情况 下 开发 微服 务 。 标 准 化 模板 
还 可 以 减少 安全 问题 ， 因 为 没有 人 必须 去 做 任何 假设 。 

(7) 创建 足够 细 粒 度 的 微服 务 去 开发 一 个 完整 的 应 用 程序 ， 但 不 要 聚焦 于 某 个 现 有 应 用 程序 
的 需求 ， 而 要 考虑 创建 一 个 新 的 应 用 程序 。 

(8) 获取 必需 的 工具 去 执行 粒度 监控 、 日 志 收集 、 应 用 度量 、 自 动 化 发 布 以 及 展示 系统 状态 
或 日 志 报 告 等 数据 的 状态 仪表 盘 。 

(9) 完全 基于 微服 务 开发 技术 构建 一 个 小 型 应 用 程序 。 甚 目的 是 创建 一 个 表明 微服 务 是 真 的 
可 行 的 完整 应 用 程序 。 对 于 刚 开始 学 习 微 服务 的 开发 团队 来 说 ， 开 发 一 个 小 型 应 用 程序 
会 降低 失败 的 概率 。 

(10) 慢 慢 地 交 又 训练 每 个 人 ， 使 得 技能 方面 的 尖锐 分 上 减少 。 

(11) 打 破 不 同 团队 之 间 的 孤岛 。 开 始 创建 微服 务 ， 使 得 来 自 每 个 团队 的 代码 、 资 源 和 数据 
可 提供 给 所 有 其 他 团队 ， 而 不 需要 考虑 这 些 资源 来 自 哪 个 团队 。 

(12) 从 现 有 的 一 体 化 应 用 程序 开发 转移 到 充满 微服 务 设计 的 开发 。 

(13) 从 一 个 小 型 的 一 体 化 项 目 开始 ， 如 果 可 能 ， 将 这 个 一 体 化 项 目 完 整地 迁移 到 某 个 微服 
务 环境 。 慢 慢 地 执行 这 项 任务 ， 在 每 次 添加 微服 务 之 后 都 进行 评估 以 确保 应 用 程序 真 
的 运行 得 更 快 、 更 可 靠 并 且 更 安全 。 

(14) 当 你 用 细 粒 度 和 更 多 功能 的 微服 务 禁 换 旧 的 微服 务 之 后 ， 将 旧 的 微服 务 从 系统 中 移 
除 掉 。 


8.2 ”用 JavaScript 调 用 微服 务 


上 一 广 帮 你 理解 微服 务 是 什么 ， 但 并 没有 向 你 展示 微服 务 是 如 何 工 作 的 。 接 下 来 的 儿 个 小 
节 会 给 出 一 个 简单 的 例子 ， 告 诉 你 如 何 将 微服 务 与 应 用 程序 放 在 一 起 并 在 应 用 程序 中 使 用 
它 。 当 然 ， 你 需要 大 量 微 服务 来 创建 一 个 有 完整 功能 的 应 用 程序 ， 但 这 个 例子 是 一 个 很 好 
的 开始 。 
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安装 一 个 用 于 JavaScript 的 微服 务 
在 开始 使 用 微服 务 之 前 ， 你 需要 进行 一 次 安装 来 支持 它们 。 当 然 ， 你 有 很 多 方式 可 
用 于 进行 一 次 可 用 的 安装 ， 但 有 一 种 方式 比 其 他 都 简单 得 多 ， 那 就 是 使 用 Nodejs 和 
Seneca 的 组 合 。 


你 首先 需要 在 你 的 系统 中 安装 一 份 Nodejs 的 副本 (如 果 之 前 没 安装 过 )。 安 装 所 需 的 
下 载 可 从 网 页 https://modejs.org/download/ 上 获取 。 安 装 说 明 会 对 你 有 帮助 。 你 可 以 在 网 
页 http://blog.teamtreehouse.com/install-node-js-npm-mac 上 找到 Mac 的 安装 说 明 ， 在 网 页 
http://blog.teamtreehouse.com/install-node-js-npm-windows 上 找到 Windows 的 安装 说 明 ， 以 
及 在 网 页 http://blog.teamtreehouse.com/install-node-js-npm-linux 上 找到 Linux 的 安装 说 明 。 
确保 你 使 用 的 目录 是 允许 开发 人 员 访 问 的 ， 例如， 这 意味 着 要 在 Windows 系统 中 使 用 
C:\Program 文件 目录 。( 如 果 可 能 ， 把 产品 安装 到 Windows 系统 的 C:modejs 目录 下 。) 确 
保 在 安装 之 后 运行 建议 的 测试 ， 以 确保 你 的 Nodejs 安装 是 正常 的 。 


本 书 用 Seneca 来 搭建 微服 务 ， 因 为 它 可 以 很 好 地 在 Mac、Windows 和 Linux 系统 上 
运行 。 当 然 ， 你 可 以 使 用 任何 满足 你 需求 的 API 网 关 。 只 要 安装 了 Node.js， 就 可 以 
根据 网 页 http://senecajs.org/install.html 上 的 说 明 ， 使 用 Node 包 管 理 器 (Node Package 
Manager，NPM) 来 安装 Seneca。 安 装 Seneca 时 ， 确 保 是 在 你 计划 用 于 创建 代码 的 目 
录 中 ， 这 样 Seneca 文件 才 会 在 正确 的 位 置 。 可 下 载 的 源码 包含 了 Seneca 文件 。 


使 用 NPM (https://www.npmjs.com/) 使 得 安装 各 种 Node.js 的 包 都 变 得 容易 ， 且 降低 了 
创建 各 种 应 用 程序 的 复杂 性 。 很 重要 的 是 要 注意 到 Seneca 的 安装 说 明 展 示 了 一 个 $ 提 示 
符 。 当 使 用 Linux 之 外 的 平台 时 ， 你 会 看 到 另 一 种 提示 符 ， 但 命令 npm instaLL Seneca 
在 各 个 平台 上 都 是 相同 的 。 很 有 趣 的 是 ， 在 安装 的 过 程 中 提示 符 只 会 显示 一 个 忙 的 提 
示 ， 你 不 会 看 到 任何 说 明 某 些 事情 正在 发 生 的 输出 ， 直 到 最 终 看 到 Seneca 的 目录 结构 
时 。( 如 果 你 完全 不 能 让 标准 NPM 安装 生效 ， 那 么 通常 可 以 直接 从 网 页 https://github. 
com/rjrodger/seneca 上 获取 源码 并 以 源码 方式 安装 ， 但 是 手动 安装 肯定 要 困难 得 多 。) 








8.2.1 理解 通信 中 REST 的 角色 

微服 务 依 赖 REST 这 样 的 通信 架构 类 型 ， 因 为 它 比 其 他 协议 [如 简单 对 象 访问 协议 
(Simple Object Access Protocol，SOAP)] 等 更 轻 量 。 使 用 SOAP 在 某 些 条 件 下 有 优点 ， 但 
在 互联 网 场景 中 存在 一 些 问题 ， 比 如 占用 大 量 带宽 ， 以 及 在 客户 端 和 服务 器 之 间 需 要 一 个 
更 加 正规 的 通信 水 平 。 依 赖 REST 进行 通信 的 应 用 程序 被 称 为 RESTful 应 用 程序 。 在 微服 
务 中 使 用 REST 具有 以 下 益处 。 


。 解 看 消 费 者 和 生产 者 
。 提供 无 状态 的 通信 
。 允许 使 用 缓存 

。 多 许 使 用 分 层 系统 


。 提供 统一 接 
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在 微服 务 中 使 用 REST， 你 有 大 量 选项 可 以 选择 。 但 是 ， 最 简单 的 方法 〈 本 例 中 使 用 的 方 


法 ) 是 依赖 某 个 特殊 格式 的 URL。 例 如 ，http://localhost:10101/act?say=hello 是 本 例 中 使 
用 的 URL。 在 这 个 例 子 中 ， 你 用 一 个 特殊 的 端口 19101 来 联系 本 地 主机 。 你 用 act 发 送 了 





条 消息 。 这 条 消息 会 被 解释 为 一 个 JSON 名 / 值 对 ，{say:"hello"}。 这 个 例子 展示 了 所 





有 这 些 是 知 何 工作 的 ， 但 重点 是 你 发 送 了 一 个 请 求 ， 然 后 得 到 了 一 个 JSON 响应 。 是 采用 


REST 进行 通信 让 事情 变 得 简单 。 





8.2.2 ”用 JSON 传 输 数 据 


微服 务 依赖 JSON 来 传输 请 求 和 响应 。 是 的 ， 你 还 会 使 用 REST 来 发 送 数 据 ， 但 这 个 信息 
最 终 是 以 JSON 格式 发 送 的 。 下 面 是 你 使 用 JSON 来 传输 数据 的 三 个 主要 理由 。 


干净 的 数据 

JSON 的 数据 格式 是 很 直接 的 。 数 据 表现 为 两 种 形式 ， 名 / 值 对 或 是 一 些 值 的 列表 。 因 
为 数据 格式 非常 严格 和 简单 ， 所 以 在 传输 数据 时 出 错 的 机 会 较 少 ， 可 靠 性 和 安全 性 问题 
也 更 少 。 

效率 

因为 JSON 避免 了 HTML 和 XML 中 标签 的 出 现 ， 所 以 它 会 比 其 他 类 型 的 数据 传输 小 。 
信息 仍然 以 文本 的 形式 进行 传输 ， 但 格式 本 身 是 很 高 效 的 ， 这 意味 着 你 可 用 更 少 的 资源 
来 传输 数据 。 

可 扩展 性 

JSON 所 使 用 的 严格 数据 格式 意味 着 数据 的 传输 是 标准 化 的 ， 这 就 可 以 根据 需要 更 简单 
地 扩展 应 用 程序 。 使 用 单一 的 数据 结构 意味 着 你 可 以 将 你 的 代码 放 到 任何 你 需要 它 的 
地 方 。 

















JSON 通常 会 使 用 5 种 不 同 的 数据 形式 。 不 像 XML， 你 不 会 创建 那 种 可 遵循 任何 可 想象 的 





形式 的 复杂 数据 层级 。 下 面 是 5 种 可 用 于 传输 数据 的 形式 。 

对 象 

一 个 对 象 就 是 一 个 名 / 值 对 。 名 / 值 对 出 现在 一 对 大 括号 (全) 中 并 且 以 一 个 分 号 (3) 
分 隔 。 你 可 以 用 逗号 来 分 隔 多 个 名 / 值 对 以 创建 复杂 的 对 象 。 例 如 ，{fsay:"hetto"] 就 
是 一 个 名 / 值 对 。 


数组 
一 个 数组 包含 着 在 中 括号 ([]) 里 的 一 个 或 多 个 值 。 例 如 ，["one"， "Two"， "Three"] 
是 一 个 包含 着 三 个 字符 串 值 的 数组 。 

值 
一 个 值 就 是 一 个 单一 项 。JSON 会 将 字符 串 、 数 字 、 对 象 、 数 组 、true、false 和 null 
作为 值 。 
字符 囊 

在 引号 里 的 一 系列 字符 人 说 大 部 分 的 文本 都 使 用 双 引 号 )。JSON 会 识别 前 面 
杠 (\) 的 控制 字符 。 这 些 字符 是 : 空格 (\b)、 换 页 (\f)、 换 行 (\n)、 回 车 






























































及 水 平 制 表 符 (\t)。 你 还 能 用 \u 和 4 位 16 进 制 数 表 示 Unicode 字符 。 例 如 ，\ue9BC 就 
是 四 分 之 一 (%) 符 。 

数字 是 一 些 没 有 引号 的 数值 字符 ， 有 或 没有 小 数 点 。 加 号 与 减 号 表示 正 值 与 负 值 。 你 还 
可 以 通过 添加 e 或 E 来 用 科学 记 数 法 表示 数字 。 例 如 ，-123e29 就 是 一 个 完全 正常 的 值 。 


8.2.3 用 Node.js 和 Seneca 创 建 微服 务 


你 可 以 找到 很 多 用 Node.js 和 Seneca 创建 在 线 微服 务 的 例子 。 不 幸 的 是 ， 大 部 分 都 很 复杂 
且 难 以 使 用 。 其 中 有 一 些 过 时 了 。 最 好 的 例子 位 于 网 站 http://senecajs.org/ 上 。 服 务 器 的 源 
码 如 展示 的 那样 工作 。 但 是 ， 在 servicejs 中 可 找到 一 个 更 简单 的 例子 ， 如 下 所 示 。 
require('seneca' )() 
.add( 


{ say:"hello"}, 
function( message, done ) 





done( null, {message:'hello'} ) 


}) 
.listen() 


在 这 个 例子 中 ，require('seneca') 将 Seneca 库 加 载 到 内 存 中 。 这 段 代 码 接着 添加 了 一 个 
{ say:"hello"} 的 匹配 模式 作为 JSON 对 象 。 与 该 匹配 模式 相关 的 function() 会 输出 另 
一 个 JSON 对 象 ，{message: 'hello'}。 这 个 例子 在 创建 JSON 对 象 时 专门 使 用 了 单 引 号 和 
双 引 号 来 表明 它们 都 是 可 行 的 ， 尽 管 官方 的 规范 看 起 来 并 不 是 这 样 。 最 后 一 步 是 告诉 服务 
listen()。 你 可 以 往 Listen() 国 数 中 添加 一 个 端口 号 。 如 果 你 没有 提供 端口 号 ， 这 个 服务 
会 监听 默认 端口 10101。 要 启动 这 个 服务 ， 你 要 在 命令 行 中 输入 node server.js 并 回 车 。 
你 可 以 看 到 如 图 8-1 所 示 的 启动 消息 。 


























I:N\WINWORDNG382 — Security for Weh Developers\S4WDp\Chapter@9>node service.js a 
B15-86-24T14:55:16.818Z jx3qubs46qqi/1435157?789998/?116/ 一 INFO 号 
ello Seneca/0@.6. 2/jx3qubs46qql 1 1390150298998y A?116/— 

化 人 :55:14.528Z jx3qubs46qqi/1435157?789998/?116/ 一 

isten 














8-1: 微服 务 正在 监听 请 求 











启动 过 程 会 记录 两 个 步骤 。 首 先是 Seneca 进程 的 初始 化 8-1 本 Seneca 
说 了 名 “hello ”的 地 方 )。 第 二 步 是 将 微服 务 置 于 监听 模式 〈 如 第 五 行 所 示 ) 下 。 任 何 时 
候 微 服务 发 起 了 调用 或 执行 其 他 任务 〈 不 是 简单 的 输出 )， Pe Re 
多 个 日 志 记 录 。 从 安全 的 角度 来 说 ， 这 可 让 你 跟踪 微服 务 的 功能 并 检测 是 否 有 人 党 试 做 一 
些 你 不 希望 发 生 的 事情 。 


当然 ， 你 可 能 想 要 测试 一 下 这 个 微服 务 。 打 开 训 览 器 窗口 并 输入 地 址 http://localhost:10101/ 
act?say=hello。 微 服务 会 输出 一 个 简单 的 JSON 对 象 ， 如 图 8-2 所 示 。 
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{"message": "hello"} 

















图 8-2: 这 个 简单 的 例子 会 输出 一 个 JSON 对 象 


当 你 回去 看 控制 台 窗 口 时 ， 不 会 看 到 任何 东西 。 那 是 因为 这 个 国 数 输出 了 一 个 简单 的 JSON 
对 象 而 没有 做 任何 环境 外 的 调用 。 但 是 ， 请 尝试 输入 http://localhost:10101/act?say=goodbye 
这 样 的 请 求 。 现 在 你 可 以 看 到 控制 台 窗 口中 有 一 些 东 西 了 ， 如 图 8-3 所 示 。 


























IT:NWINWORDNG382 — Security for Web Developers\S4WD\Chapter@9?>node 
@15-86-24T15:84:59 .822Z dsgugo?7qgn2s/14351582998@2/5168/- 
ello Seneca, S/dsgugo7qgn2s 49e128293802/21287 Ds 
-2479: -902Z dsgugo?7qgn2s/143515829988@2/5168/- INFO 
B15-96-24T15 : a@5: 209. 392Z dsgugo?7qgn2s/1435158299882/5168/ WARN 
ct seneca: No matching action pattern found 
for ¢ say: :goodhye’ 4 i no default result provided Cusing a default$ proper 
y). act_not_found 《aFgs=《 say: “goodhbye” 这 plugin=《》> Error: seneca: N 
matching action pattern found for 《 say: 7 goodhye’ }. and no default result pr 

vided using a default$ property). 

at errormaker CI:\WINWORD\NG3062 — Security for Wehb Developers\S4WPD\Chapter@?\ 
ode_modules\seneca\node_modules\eraro\eraro.js:94:15> 

at Seneca.api_act CI:\WINWORD\NGB382 — Security for Wehb DevuelopersNS4WD\Chapte 
@9\node_modules\seneca\seneca..js:1228:15> 

at Seneca.delegate.act CI:\WINWORD\G382 — Security for Wehb Developers\S4WD\C 
apter@9\node_modules\seneca\seneca.js:1956:11> 

at Seneca.delegate.act CI:\WINWORD\G382 — Security for Wehb Developers\S4WD\C 
apter@9\node_modules\seneca\seneca.js:1956:11> 

at Object.handle_request CI:\WINWORD\NG382 — Security for Webh Developers\S4WD 
chapt ere nade podulos seneca node nodules \senecastronsport\ Lib\transport utils 
-js: 

at Object.handle CI:\WINWORD\NG382 — Security for WUehbh Developers\S4WD\Chapter 
9\node_modules\seneca\node_modules\seneca-transport\transport .js:451:18> 

at next CI:\WINWORD\G382 - Security for WUehb Developers\S4WD\Chapter@9\node_m 
aos soneca node modu les seneea transport ode sodules\connectN NEO ds 人 

at IncomingMessage.<anonymous> CI:\WINWORD\GB382 — Security for Wehb Developer 
Eo antorer node. nodules seneca node: nodules\senece tronsnontitpans Dont]s: 

at IncomingMessage.emit Cevents.js:1864:17?> 

at _stream_readable.js:988:16 

















图 8- 3: 输出 文本 中 有 大 量 错误 信 言 息 
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输出 中 包含 一 个 调用 栈 ， 在 这 个 例子 中 你 可 以 忽略 它 ， 但 在 使 用 复杂 的 微服 务 时 它 很 
有 用 。 在 这 个 例子 中 最 重要 的 信息 出 现在 顶部 。 你 会 看 到 一 个 警告 说 没有 与 { say: 
'goodbye' } 匹配 的 模式 。 注 意 REST 请 求 被 转换 成 一 个 JSON 对 象 。 错 误 输出 会 更 精确 地 
告诉 你 发 生 了 什么 ， 所 以 发 起 非法 的 请 求 会 变 得 更 加 困难 。 


这 真是 一 个 做 试验 的 绝 佳 例 子 ， 因 为 你 可 以 看 到 尝试 轧 弄 微服 务 的 REST 通信 的 结果 ， 而 
不 用 担心 其 他 因素 会 影响 这 一 结果 。 当 你 使 用 完 这 个 例子 之 后 ， 按 下 Ctrl+C 组 合 键 或 
Ctrl+Break 组 合 键 来 停止 服务 。 该 服务 会 停止 ， 而 你 会 看 到 命令 提示 符 再 次 出 现 。 


8.3 ”定义 微服 务 市 来 的 安全 威胁 


当 谈 到 安全 问题 时 ， 微 服务 在 许多 方面 与 API 类 似 。 例 如， 微服 务 可 能 会 遭受 中 间 人 攻 
击 。 黑 客 真正 从 这 种 攻击 中 获得 的 好 处 会 比 API 少 ， 因 为 微服 务 是 小 型 的 、 自 包含 的 ， 并 
且 只 执行 一 个 任务 。 但 是 威胁 仍然 存在 ， 并 且 黑 客 真 的 只 需要 一 种 攻击 手段 就 能 毁灭 你 美 
好 的 一 天 。 虽 然 你 可 能 会 读 到 很 多 文章 告诉 你 微服 务 会 提供 天 然 的 安全 性 ， 但 它们 仍然 有 
安全 问题 ， 并 且 你 也 需要 了 解 这 些 安全 问题 。 接 下 来 的 几 小 节 会 给 出 在 处 理 微服 务 的 安全 
性 时 需要 考虑 的 优点 和 问题 。 


8.3.1 缺少 一 致 性 


微服 务 可 能 带 来 的 最 大 问题 是 缺少 一 致 性 ， 这 似乎 也 困扰 着 过 去 创建 的 每 个 库 和 API。 库 
以 及 API 的 开发 人 员 一 开始 会 想 创建 易于 使 用 且 一 致 的 接口 ， 但 随 着 时 间 的 推移 ， 库 或 
API 就 变 成 了 一 堆 冲 突 策略 的 混杂 物 ， 这 让 难题 变 得 相对 容易 解决 。 试 图 修复 任何 一 种 代 
码 基础 都 是 相当 困难 的 ， 因 为 开发 人 员 将 库 或 API 作为 单一 的 一 块 代码 使 用 。 这 些 不 一 致 
性 会 导致 安全 问题 ， 因 为 使 用 这 些 代 码 的 开发 人 员 以 为 这 些 调用 会 以 某 种 方式 工作 但 实际 
却 不 是 。 基 结果 就 是 在 代码 和 使 用 它们 的 应 用 程序 之 间 会 有 不 匹配 的 情况 出 现 。 黑 客 会 将 
这 种 错误 作为 入 侵 应 用 程序 、 数 据 或 其 运行 所 在 的 系统 的 一 种 方法 。 


微服 务 也 会 遭受 缺少 一 致 性 的 问题 。 关 键 是 你 要 在 开发 过 程 中 尽 可 能 早 地 创建 一 个 精确 描 
述 如 何 调 用 微服 务 的 模板 。 与 库 和 API 一 样 ， 墨 客 会 利用 不 一 致 性 作为 攻克 你 的 安全 措施 
的 方法 。 与 库 和 API 不同 的 是 ， 不 一 致 性 只 会 影响 一 个 微服 务 ， 而 不 是 整套 代码 。 修 复 这 
个 微服 务 会 比较 简单 ， 因 为 你 只 需要 查看 一 个 调用 ， 而 不 是 整个 API。 发 布 一 个 新 的 微服 
务 也 会 比 发 布 一 个 新 的 库 或 API 更 简单 。 因 此 ， 克 服 一 个 微服 务 的 不 一 致 性 是 相对 简单 的 。 


8.3.2 ”考虑 虚拟 机 的 角色 


所 有 微服 务 通常 都 在 自己 的 虚拟 机 (virtual machine，VM) 环境 中 运行 。 这 意味 着 一 个 
微服 务 通 常 不 会 破坏 另 一 个 微服 务 。 即 使 一 名 黑客 入 侵 了 一 个 微服 务 ， 他 能 造成 的 破坏 
通常 是 最 小 化 的 。 但 是 ， 很 有 可 能 在 同一 个 虚拟 机 中 运行 着 多 个 微服 务 ， 为 此 ， 黑 客 可 
能 尝试 各 种 技术 来 入 侵 整 个 API。 为 了 最 大 化 安全 性 ， 你 要 避免 像 这 里 的 service2.js 例 
子 中 那样 堆 又 微服 务 ( 要 访问 这 个 例子 ， 你 必须 使 用 999 端口 ， 比 如 http://localhost:999/ 
act?say=goodbye)。 
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require('seneca' )() 
.add( 
{ say:"hello"}, 
function( message, done ) 


{ 
done( null, {message:'hello'} ) 


}) 
.add( 
{ say:"goodbye"}, 
function( message, done ) 


{ 
done( null, {message:'goodbye'} ) 


}) 
.listen(999) 
最 佳 实践 是 让 每 个 服务 在 隔离 的 虚拟 机 上 运行 ， 以 确保 每 个 服务 有 自己 的 地 址 空间 和 进 
程 。 分 离 每 个 服务 能 使 出 现 错误 和 黑客 利用 代码 缺陷 造成 问题 的 机 会 变 少 。 


8.3.3 使 用 JSON 进 行 数 据 传输 


没有 完美 的 数据 传输 方法 。 是 的 ，JSON 是 轻 量 的 、 易 于 使 用 的 ， 并 且 与 XML 等 其 他 技术 
相 比 ， 不 易 遭 受 安 全 问题 。 但 是 ， 黑 客 仍然 有 很 多 方法 来 给 JSON 造成 问题 。 接 下 来 会 描 
述 更 多 普遍 存在 的 问题 


1. 考虑 eval() 的 危险 

某 些 人 有 可 能 会 发 送 一 个 响应 给 客户 端 ， 这 个 响应 里 面包 含 一 个 <script> 标签 并 有 一 段 
可 执行 任何 操作 的 脚本 (在 某 些 情况 下 ， 你 其 至 不 需要 标签 ， 而 只 需要 传递 脚本 )。 才 
运 的 是 ， 现 在 的 大 部 分 浏览 器 会 检测 这 种 尝试 并 拒绝 传输 这 种 信息 。 例 如 ， 试 试 http:/ 
localhost:999/act?<script>alert('Hello");</script>=goodbye， 你 可 能 会 看 到 如 图 8-4 所 示 的 输 
出 。 此 外 ， 微 服务 本 身 会 拒绝 处 理 这 样 的 请 求 。 但 是 ， 这 个 脚本 过 于 简单 ， 而 一 个 更 加 高 
级 的 尝试 可 能 就 会 取得 成 功 。 
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httpi/Mocalh...4121861397741 x 
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NoScript filtered a potential cross-site scripting (XSS) attempt from [chrome:]. Technical details have been 
© logged to the Console. (Options. | * 














{"eraro":true, "orig":null,"code":"act not found","seneca":true,"package":"seneca", "msg":"senec 
a: No matching action pattern found for { ' script>ALERT Hello ; /script>': 'goodbye' }, 

and no default result provided (using a default$ property).","details":{"args":"{ " 
SCript>ALERT Hello ; /script>': 'goodbye' }","plugin": {}}, "callpoint":"at Seneca.api act 
(I:\\WINWORD\\0302 - Security for Web Developers\\S4WD\\Chapter09\\node ] modules\\seneca 
\\seneca.js:1228:15)", "message":"seneca: No matching action pattern found for { ' 

SCript>ALERT Hello ; /script>': "goodbye' }, and no default result provided (using a 
default$ property).", "name":"Error"} 

















图 8-4: 像 API 一 样 ， 脚 本 问题 也 会 给 微服 务 带 来 麻烦 
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2. 防御 跨 站 请 求 伪 造 

一 个 跨 站 请 求 伪 造 (cross-site request forgery，CSRF 或 XSRF) 是 攻击 者 尝试 让 用 户 在 不 

经 意 间 或 不 知情 的 情况 下 执行 代码 的 攻击 。 这 个 代码 在 用 户 所 在 的 权限 级 别 上 运行 并 且 有 

用 户 的 认证 凭据 ， 所 以 它 看 起 来 是 用 户 本 人 在 执行 代码 而 不 是 别人 。 在 大 部 分 情况 下 ， 当 

发 生 下 面 的 一 系列 事件 时 ， 微 服务 会 遭遇 到 这 种 特殊 的 攻击 。 

(1) 一 名 用 户 登 录 进 一 个 使 用 微服 务 的 应 用 程序 。 

(2) 该 用 户 执行 各 种 任务 ， 每 个 任务 都 依赖 REST 进行 通信 。 

(3) 攻击 者 发 送 给 该 用 户 一 个 有 特殊 格式 的 URL， 它 看 起 来 像 是 其 他 的 REST 消息 ， 但 会 
干 黑客 想 要 用 户 干 的 事情 。 这 个 URL 可 能 作为 电子 邮件 消息 的 一 部 分 或 在 某 些 其 他 的 
通信 中 出 现 ， 甚 至 可 能 是 网 页 里 的 一 个 链接 。 

(4) 用 户 初始 化 请 求 ， 就 像 平 时 一 样 发 送 URL 到 微服 务 。 

(5) 恶意 的 请 求 被 执行 ， 而 用 户 其 至 可 能 还 没 意 识 到 其 已 经 发 生 了 。 


一 个 现实 的 攻击 例子 是 2008 年 的 hn Torrent 事故 。 这 种 攻击 对 于 微服 务 开发 
人 员 很 重要 ,原因 是 它 发 生 于 有 Web 服务 器 在 后 台 运 行 的 系统 中 。 当 攻击 
发 生 时 ， 它 会 损害 整个 系统 ， 这 就 是 为 什么 你 要 将 这 些微 服务 放 在 自己 的 虚 
拟 机 中 相互 隔离 开 来 。 你 可 以 在 网 页 http://xssniper.com/blog/2008/04/21/csrf- 
pwns-your-box/ 上 读 到 相关 的 资料 。 





















































由 于 这 种 攻击 工作 的 方式 ， 你 真正 需要 做 的 是 确保 应 用 程序 在 用 户 保持 不 活跃 状态 一 段 时 
间 后 自动 使 其 退出 。 此 外 ， 你 需要 查找 怪异 的 使 用 模式 并 限制 用 户 在 未 经 批准 时 所 能 做 的 
事情 。 例 如 ， 用 户 能 在 银行 转 1000 美元 ， 但 转 10 000 美元 则 需要 管理 者 的 批准 。 使 用 多 
步骤 的 工作 流 ， 这 样 攻击 者 需要 与 用 户 有 更 多 交互 才能 使 攻击 奏效 ， 这 在 某 些 时 候 也 能 阻 
止 这 类 攻击 ， 但 用 户 会 对 必须 执行 更 多 步 又 才能 完成 给 定 任 务 不 满 。 


8.3.4 定义 传输 层 的 安全 

微服 务 和 API 的 致命 弱点 是 需要 来 回 发 送 消息 ， 而 不 是 在 单一 机 器 上 执行 任务 。 解 决 这 一 
问题 的 基石 在 于 传输 层 安 全 (Transport Layer Security，TLS ) 。 关 键 是 要 确保 客户 端 与 服务 
器 之 间 的 传输 层 在 消息 发 送 过 程 中 是 安全 的 。 这 意味 着 要 用 HTTPS 和 REST 等 技术 来 确 
保 通 信 尽 可 能 安全 。 

把 每 个 调用 和 响应 都 包 在 HTTPS 和 REST 中 的 一 个 问题 是 应 用 程序 会 变 慢 。 解 决 这 一 问 
题 的 最 佳 方法 是 使 用 负载 均衡 来 传输 客户 端的 通信 ， 并 保持 一 个 渠道 开放 给 后 台 处 理 需 
求 。 保 持 放 开 后 台 处 理 渠道 可 降低 成 本 并 减 小 使 用 HTTPS 和 REST 的 影响 。 


在 公开 网 络 使 用 HTTPS 的 一 个 问题 是 你 必须 从 认证 机 构 (Certificate Authority， 
CA) 获取 一 个 证 书 ， 这 是 一 项 很 昂贵 的 支出 ， 可 能 会 使 某 些 公司 放弃 使 用 
HTTPS。 当 你 控制 了 通信 渠道 的 两 端 时 ， 就 可 以 创建 自己 的 证 书 ， 以 大 大 降 
低 的 成 本 来 达到 相同 的 目的 。 




































































HTTPS 和 双向 TLS 的 使 用 可 确保 客户 端 和 服务 器 在 每 次 的 请 求 /响应 中 都 能 识别 对 方 。 认 





128 | 第 8 章 


证 减少 了 某 些 人 能 成 功 实施 中 间 人 攻击 来 非法 获取 数据 的 机 会 。 现 在 的 大 部 分 通信 征 采 用 
单 向 TLS 的 ， 也 就 是 客户 端 会 验证 服务 器 的 身份 ， 但 服务 器 简单 地 认为 客户 端 没 有 受到 损 
害 。 鉴 于 微服 务 的 实质 ， 你 真 的 需要 实现 双向 TLS 来 验证 客户 端 和 服务 器 的 身份 。 


8.4 ”创建 可 蔡 换 的 微服 务 路 径 


许多 开发 人 员 不 太 理解 的 一 个 东西 是 微服 务 的 去 中 心 化 性 质 。 每 个 微服 务 都 是 分 开 的 。 你 不 
必 考 虑 微服 务 需要 的 平台 、 它 所 使 用 的 语言 或 其 运行 的 地 方 。 有 可 能 有 两 个 微服 务 ， 它 们 是 
用 不 同 的 语言 开发 的 ， 在 两 个 不 同 的 地 方 在 两 个 不 同 的 平台 上 运行 ， 却 执行 着 相同 的 任务 。 
由 于 这 两 个 微服 务 所 使 用 的 环境 非常 不 同 ， 所 以 影响 一 个 微服 务 的 问题 不 太 可 能 会 影响 另 一 
个 。 因 此 ,保持 着 两 套 微服 务 是 一 个 好 的 做 法 ， 这 样 你 就 能 根据 需要 切换 它们 来 让 应 用 程序 
持续 运行 。 这 也 是 这 一 布 所 要 谈 及 的 ， 即 考虑 用 多 个 途径 访问 多 个 微服 务 的 意义 。 

当 考 虑 多 个 微服 务 以 及 它们 所 采用 的 途径 时 ， 也 要 考虑 一 下 端口 这 样 的 事情 。 你 可 以 创建 
在 不 同 端口 上 运行 的 微服 务 。 通 常 ， 你 会 使 用 在 端口 999 上 的 微服 务 来 执行 某 个 应 用 程序 
所 要 求 的 任务 。 但 是 ， 如 果 端 口 999 上 的 微服 务 变 得 过 载 、 被 损坏 或 者 不 能 工作 了 ， 你 可 
以 切换 到 不 同 端口 上 的 相同 微服 务 。 你 的 代码 可 以 保持 不 变 ， 而 只 是 端口 变 了 。 采 用 这 一 
方法 会 让 你 的 应 用 程序 有 弹性 、 可 靠 并 且 灵 活 。 这 也 意味 着 如 果 发 生 像 分 布 式 拒绝 服务 
(DDOS) 这 样 的 攻击 ， 你 会 有 一 些 可 选 的 方案 。 
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第 三 部 分 


创建 有 用 及 高 效 的 测试 策略 








你 不 太 可 能 避免 应 用 程序 六 在 的 安全 问题 ， 但 可 以 通过 花 时 间 思 考 和 运用 适当 的 测试 技巧 
来 减少 问题 。 这 一 部 分 将 探讨 如 何 降低 应 用 程序 被 攻破 的 风险 。 第 9 章 将 帮 你 像 黑 客 一 样 
思 芳 ， 这 和 是 很 重要 的 练习 ， 将 使 你 真正 看 到 应 用 程序 的 安全 漏 筒 。 别 人 不 会 在 你 的 安全 漏 
洞 上 用 大 大 的 红字 标 上 “来 修复 我 ! “， 所 以 这 个 思考 的 过 程 相当 重要 。 


第 10 蔓 将 讨论 沙 盒 技术 。 把 代码 放 在 沙 盒 中 不 会 真 的 让 它 没 有 问题 ， 但 可 以 减少 代码 可 
能 带 来 的 破坏 。 沙 盒 会 让 你 的 系统 及 其 资源 很 难 被 访问 ， 并且 在 涉及 安全 问题 时 ， 它 会 使 
一 切 都 变 得 不 同 。 

第 11 章 和 第 12 章 将 讨论 各 种 测试 。 第 11 章 关 广内 部 测试 ， 这 通常 有 助 于 定位 主要 问题 ， 
但 可 能 不 足以 找 出 以 后 可 能 会 让 你 付出 代价 的 细小 问题 。 第 12 章 讨论 第 三 方 测试 ， 这 对 
于 缺少 安全 专家 的 小 企业 来 说 是 非常 重要 的 选择 。 无 论 你 在 哪里 执行 测试 ， 对 于 了 解 在 某 
一 产品 上 使 用 应 用 程序 的 风险 来 说 ， 进 行 充分 的 测试 都 很 必要 。 
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像 黑客 一 样 思考 





大 部 分 开发 人 员 把 时 间 花 在 考虑 事情 应 该 如 何 运 作 上 面 ( 即 关注 在 代码 正确 的 情况 下 事情 
会 如 何 运 作 )。 思 考 事情 无 法 运转 〈 即 尝试 确定 代码 出 错时 事情 出 错 的 方式 ) 的 想法 是 有 
些 异类 的 。 是 的 ， 无 论 是 怎样 的 想法 ， 开 发 人 员 都 要 时 刻 处 理 bug， 但 他 们 的 思路 是 不 一 
样 的 。 当 你 像 黑客 一 样 去 思考 时 ， 可 能 在 使 用 表面 上 完全 可 接受 的 代码 ， 它 可 能 没有 bug， 
但 可 能 有 安全 漏洞 。 

本 章 包含 一 个 帮 你 以 黑客 的 视角 看 竺 代码 的 过 程 。 你 可 以 使 用 工具 来 查找 潜在 的 安全 漏 
洞 ， 创 建 测 试 系统 来 尝试 破坏 代码 ， 并 依靠 一 些 常见 漏洞 来 使 你 的 生活 更 轻松 一 点 。 黑 客 
喜欢 BYOD 现象 ， 因 为 这 会 让 所 有 这 些 不 安全 的 系统 丈 荡 在 各 处 ， 而 IT 人 员 对 这 些 操作 
系统 并 没有 太 多 经 验 。 当 然 ， 总 会 有 最 终 的 应 用 程序 测试 人 员 ， 那 就 是 用 户 。 用 户 可 以 找 
到 比 任何 开发 人 员 能 考虑 到 的 更 多 的 破坏 应 用 程序 的 方式 ， 但 用 户 测试 的 价值 在 于 可 以 发 
现 你 所 做 的 假设 真 的 是 无 效 的 。 


事实 上 ， 你 需要 治 着 这 些 思路 去 思考 ， 这 会 推动 很 多 公司 雇用 安全 专家 来 考虑 黑客 会 采用 
的 各 种 迁 回 方式 。 黑 客 用 这 些 方式 来 彻底 破坏 功能 性 应 用 程序 ， 努 力 获 得 他 们 能 有 效 利用 
的 机 会 去 执行 特定 的 任务 。 但 是 本 章 会 假设 你 的 公司 现在 确实 没有 任何 安全 专家 。 你 可 以 
在 应 用 程序 接近 完工 时 才 考 虑 这 个 问题 ， 但 那 时候 想 要 低 成 本 地 修复 问题 通常 太 晚 了 。 在 
审视 应 用 程序 时 像 黑 客 一 样 思 芳 可 以 为 你 的 公司 节省 金钱 、 时 间 和 精力 ， 以 及 最 重要 的 ， 
避免 难堪 。 


9.1 定义 Web 安 全 扫描 的 需求 


Web 安全 扫描 的 基本 思想 是 ， 它 们 会 告诉 你 你 的 网 站 目前 是 否 干净 ， 并 且 有 时 候 能 帮 你 孝 
虑 潜在 的 安全 漏洞 。 如 果 你 有 一 个 很 大 的 企业 ， 那 么 购买 一 个 Web 安全 扫描 器 是 个 不 错 的 
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主意 。 但 是 ， 小 企业 常常 可 以 使 用 免费 的 在 线 Web 安全 扫描 器 。 当 然 ， 这 些 产 品 实际 上 不 
是 完全 免费 的 。 当 Web 安全 扫描 器 找到 了 某 个 系统 问题 时 ， 其 所 属 的 公司 通常 会 让 你 购买 
它 来 清理 系统 并 提供 后 续 保护 。( 在 计算 机 的 世界 里 真 的 没有 免费 的 午餐 。) 








任何 Web 安全 扫描 器 都 做 不 到 100% 准确 地 检查 出 网 站 的 潜在 问题 。 对 于 远 
程 扫描 器 来 说 更 是 如 此 ， 它 们 并 没有 在 能 够 访问 你 想 要 测试 的 服务 器 的 系统 
上 运行 。 扫 描 器 可 以 很 好 地 定位 现 有 问题 ， 但 你 无 法 找到 所 有 问题 。 

你 还 必须 认识 到 Web 安全 扫描 器 也 会 误 报 。 这 意味 着 扫描 器 有 可 能 会 告诉 你 
一 个 实际 不 存在 的 安全 问题 。 

解决 遗漏 问题 或 误 报 的 最 佳 方法 是 不 止 使 用 一 个 Web 安全 扫描 器 。 依 靠 单一 
的 Web 安全 扫描 器 确实 是 一 个 好 的 开端 ， 但 你 需要 付出 超过 实际 所 需 的 努 
力 ， 才 能 构建 一 个 安全 漏洞 最 少 且 完全 可 工作 的 网 站 。 

















在 查找 更 多 关于 Web 安全 扫描 器 的 信息 之 前 ， 很 重要 的 是 要 弄 清 它 执行 什么 任务 。 这 里 
的 例子 会 使 用 Securi (https:/sitecheck.sucuri.net) ， 这 是 一 个 能 检查 很 多 安全 问题 的 免费 扫 
描 器 ， 主 要 检查 潜在 的 病毒 感染 风险 。 图 9-1 所 示 的 主页 会 让 你 输入 网 站 的 URL 并 点 击 
“Scan Website!” 来 开始 扫描 过 程 。 
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Enter a URL (ex. sucuri.net) and the Sucuri SiteCheck scanner will check 
the website for known malware, blacklisting status, website errors, and 
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图 9-1: 要 开始 扫描 ， 需 要 输入 你 的 网 站 URL 并 点 击 按钮 
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如 果 你 有 一 个 网 站 ， 请 一 定 要 查看 提供 主机 服务 的 供应 商 。 许 多 供应 商会 
提供 低 成 本 的 Web 安全 扫描 器 。 例 如 ， 你 可 以 在 网 页 https://www.godaddy. 
com/security/malwarescanner.aspx 上 找到 提供 给 GoDaddy 用 户 的 扫描 器。 供 
应 商 在 确保 你 的 网 站 不 会 遭受 危害 方面 有 既定 利益 ， 所 以 提供 这 种 低 价 服务 
对 他 们 也 有 好 处 。 























在 扫描 完成 之 后 ， 你 可 以 看 到 扫描 结果 的 概览 以 及 一 个 更 加 详细 的 检查 列表 ， 如 图 9-2 所 
示 。 当 然 ， 如 果 你 想 要 一 个 更 详细 的 检查 ， 可 以 购买 一 份 在 网 站 右边 列 出 的 Securi 计划 。 
但 是 如 果 你 只 想 看 看 扫描 器 能 做 什么 ， 使 用 免费 版 本 就 足够 了 。 
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图 9-2: 扫描 完成 之 后 会 显示 你 的 网 站 的 各 种 问题 





查看 网 站 的 Website Details 选项 卡 下 面 的 信息 是 很 有 趣 的 。 图 9-3 展示 了 我 的 网 站 的 信息 。 
很 有 趣 的 是 ， 黑 客 可 以 利用 类 似 这 样 的 扫描 器 来 寻找 你 的 网 站 中 他 们 可 能 感 兴趣 的 地 方 ， 
比如 所 用 软件 的 版 本 。Web 安全 扫描 器 会 帮 你 理解 黑客 所 能 掌握 的 各 种 信息 。 看 到 这 些 每 
个 人 都 能 找到 的 信息 通常 会 有 些 可 怕 。 
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图 9-3: 这 些 详细 信息 可 以 用 来 洞察 黑客 所 能 掌握 的 关于 你 的 网 站 的 信息 


从 另 一 个 角度 来 看 ， 详 细 信 息 也 是 有 帮助 的 。 当 你 使 用 一 个 主机 网 站 时 ， 就 像 许 多 小 公司 
所 做 的 那样 ， 很 难 知道 提供 主机 服务 的 供应 商 是 否 真 的 不 断 更 新 软件 。Securi (及 其 他 ) 
Web 安全 扫描 器 会 认真 检测 网 站 并 输出 版 本 信息 的 列表 ， 这 些 信 息 在 你 使 用 自己 网 站 的 仪 
表盘 时 可 色 ne ee et 但 已 经 过 时 并 可 能 会 对 系统 
造成 安全 漏洞 。 打 电话 给 提供 主机 的 公司 通常 可 以 快速 解决 问题 ,但 在 打 电 话 之 前 你 需要 
知道 是 什么 问题 。 


你 可 以 在 网 上 找到 Web 安全 扫描 器 的 清单 。 其 中 比较 好 的 一 份 清单 是 Web 
安全 应 用 协会 (Web Application Security Consortium) 的 应 用 安全 扫描 器 列表 
(http://projects.webappsec.org/w/page/13246988/Web)。 这 些 作者 已 经 将 这 份 清 
单 分 成 商业 、 软 件 即 服务 (Software-As-A-Service，SAAS) 以 及 免费 开源 工 
有 具 三 个 类 别 。 另 一 份 好 的 工具 清单 位 于 开放 Web 应 用 安全 项 目 (Open Web 
Application Security Project，OWASP) 的 网 站 (https:/www.owasp.org/index.php/ 
Phoenix/Tools) 上 ， 你 可 以 在 该 网 站 上 找到 各 种 工具 。 
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9.2 构建 测试 系统 


当 你 像 黑 客 一 样 思考 时 ， 有 一 个 不 必 担 心 其 被 破坏 的 系统 通常 
可 能 在 中 间 某 个 环 市 就 被 破坏 了 ， 所 以 构建 一 个 能 被 轻易 恢复 的 系统 是 很 重要 的 。 接 下 来 
会 概述 构建 测试 系统 时 需要 考虑 的 事情 。 


9.2.1 考虑 测试 系统 的 使 用 


你 需要 一 个 测试 系统 ， 这 样 你 就 能 自由 探索 黑客 会 采用 的 各 种 攻击 手段 。 除 非 充 分 了 解 如 
今 的 大 部 分 应 用 程序 是 何等 脆弱 ， 否 则 你 真 的 无 法 修复 自己 的 应 用 程序 。 开 发 人 员 会 犯 各 
种 错误 ， 在 当时 看 起 来 是 无 害 的 ， 但 后 面 会 导致 安全 问题 。 小 到 代码 中 的 一 些 错误 注释 都 
可 能 导致 问题 。 使 用 生产 系统 来 测试 是 一 个 糟糕 的 想法 ， 因 为 本 书 所 描述 的 方法 可 能 会 让 
你 遭受 真正 的 攻击 。 你 需要 一 个 能 够 破坏 并 恢复 的 系统 ， 以 确保 你 真正 掌握 所 学 。 


这 里 的 要 点 是 对 有 害 条 件 下 的 各 种 应 用 程序 进行 测试 ， 但 是 以 安全 的 方式 进行 ， 不 会 真 的 
损害 任何 真实 数据 或 任何 生产 系统 。 给 测试 环境 注入 病毒 可 以 让 你 发 现 应 用 程序 会 如 何 应 
对 ， 而 无 需 真 的 在 生产 环境 中 试验 这 个 病毒 。 当 然 ， 你 的 测试 系统 不 能 连接 到 你 的 生产 网 
络 〈 否 则 病毒 可 能 会 跑 出 来 并 感染 生产 系统 )。 你 也 可 以 使 用 这 个 环境 来 测试 各 种 漏洞 ， 
并 确定 黑客 会 采用 什么 手段 来 破坏 你 的 应 用 程序 。 


但 是 ， 测 试 系统 不 止 能 用 来 测试 应 用 程序 。 你 还 可 以 用 它 测 试 对 策 的 效率 或 者 特定 配置 的 
漏洞 。 测 试 整体 的 系统 有 助 于 确保 应 用 程序 不 会 轻易 被 其 他 部 分 的 漏洞 所 破坏 。 测 试 整个 
环境 是 很 关键 的 ， 因 为 任何 墨客 都 会 这 样 做 。 


9.2.2 ”接受 必需 的 训练 


在 开发 人 员 真 正 进行 测试 之 前 ， 要 明白 要 测试 什么 以 及 如 何 测 试 。 你 可 以 通过 使 用 
OWASP Security Shepherd (https:Wwww.owasp.org/index.php/OWASP_Security_Shepherd ) 
这 个 项 目 来 开始 训练 过 程 ， 这 个 项 目 会 给 出 应 用 程序 的 十 大 安全 风险 。 它 可 以 提供 针对 单 
个 人 的 教程 ， 你 也 可 以 在 教室 里 用 它 给 多 名 学 生 授课 。 这 个 应 用 程序 提供 了 一 个 苋 争 环 
绕 ， 所 以 从 某 些 方面 来 说 这 是 一 场 安全 游戏 ， 应 用 程序 会 记录 每 个 会 话 的 分 数 。 这 个 应 用 
程序 支持 60 多 个 级 别 的 训练 ， 你 可 以 根据 用 户 的 学 习 曲 线 和 经 验 来 配置 它 。 

在 学 习 了 基础 知识 之 后 ， 就 需要 花 一 些 时 间 像 墨客 一 样 真 的 入侵 软件 ， 这 样 就 可 以 了 解 
到 安全 环境 的 另 一 端 。 当 然 ， 你 要 在 安全 和 合法 的 环境 下 执行 这 一 任务 ， 这 样 才 不 会 破 
坏 自 己 的 软件 。OWASP 专门 设计 了 一 个 叫 WebGoat (https:/www.owasp.org/index.php/ 
Category:OWASP_WebGoat_Project) 的 应 用 程序 来 提供 一 些 漏洞 ， 应 用 开发 人 员 可 用 它 来 
发 现在 现实 的 应 用 程序 场景 中 入 侵 是 如 何 发 生 的 。 网 页 http://webappsecmovies.sourceforge. 
net/webgoat/ 上 的 影片 会 带 你 一 步 步 了 解 黑 客 做 事 的 过 程 ， 这 样 你 能 更 好 地 理解 黑客 正在 
对 你 的 应 用 程序 做 什么 。 训 练 包括 关于 以 下 内 容 的 影 

。 通用 原则 (General principles) 

。 代码 质量 (Code quality ) 

。 并 发 (Concurrency) 
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。 未 验证 的 参数 (Unvalidated parameters ) 
。 访问 控制 缺陷 (Access control flaws) 
。 认证 缺陷 (Authentication flaws) 


。 会 话 管理 缺陷 (Session management flaws) 
。 跨 站 脚本 攻击 (Cross-site scripting，XSS ) 


。 缓存 液 出 (Buffer overflows ) 

。 注入 缺陷 (Injection flaws ) 

。 不 安全 的 存储 (Insecure storage) 

。 拒绝 服务 (Denial of service，DOS ) 
。 配置 (Configuration) 

。 Web 服务 (Web services ) 

。 AJAX 安全 性 (AJAX security) 


最 后 一 步 是 要 接受 一 个 WebGoat 的 挑战 来 展示 你 新 学 到 的 技能 。 你 要 攻破 认证 措施 ， 窃 
取 所 有 的 信用 卡 ， 然 后 使 网 站 颜面 尽 失 。 其 要 点 是 从 黑客 的 角度 来 完全 理解 墨客 行为 ， 但 


是 ， 是 在 一 个 安全 (并且 合法 ) 的 环境 中 。 























很 重要 的 是 要 理解 如 何 完善 你 的 安全 测试 技能 。 网 页 http://blogs.atlassian.com/2012/01/13- 
steps-to-learn-perfect-security-testing-in-yourorg/ 上 的 文章 会 教 你 13 个 步骤 ， 你 可 以 遵循 这 
些 步骤 来 改进 自己 的 测试 方法 。 将 这 些 信息 与 这 一 部 分 介绍 的 工具 相 结合 ， 可 以 帮 你 测试 
任何 应 用 程序 ， 即 使 你 的 公司 缺少 进行 深度 测试 的 资源 。 








9.2.3 创建 正确 的 环境 





你 构建 的 任何 环境 都 必须 与 实际 的 应 用 环境 匹配 。 这 意味 着 要 能 访问 你 计划 支持 的 每 一 种 
操作 系统 、 用 户 计划 使 用 的 各 种 浏览 器 以 及 每 个 系统 会 使 用 的 对 策 (在 某 些 情况 下 可 能 根 


本 没有 )。 请 确保 每 个 系统 都 能 轻易 访问 ， 因 





为 你 可 能 要 重新 配置 它们 来 模拟 用 户 使 用 的 


各 种 系统 。 此 外 ， 你 必须 定期 计划 重新 构建 测试 系统 。 














隔离 ， 否 则 就 得 承担 后 果 。 


因为 你 会 用 测试 系统 来 进行 各 种 测试 ， 所 以 必须 为 你 的 实验 室 提供 物理 上 的 
安全 性 。 否 则 一 些 好 心 人 会 让 病毒 或 恶意 代码 进入 到 生产 环境 中 。 你 也 不 应 
该 把 安全 设置 开放 给 那些 心 有 不 满 的 职员 ， 或 那些 会 用 它 来 给 你 的 生活 制造 
麻烦 的 人 。 测 试 环 境 应 该 尽 可 能 反映 生产 环境 ,但 你 也 需要 保持 它们 的 物理 








为 了 将 生产 环境 和 测试 环境 隔离 ， 你 应 该 考虑 为 测试 环境 使 用 不 同 的 颜色 标 
示 。 你 不 应 该 把 生产 环境 连接 到 测试 环境 中 ， 反 之 亦 然 。 此 外 ， 很 关键 的 是 
要 标记 测试 环境 ， 这 样 就 没有 人 会 在 生产 环境 中 使 用 它们 。 


9.2.4 ”使 用 虚拟 机 








大 部 分 公司 没有 足够 的 硬件 来 为 应 用 程序 用 户 所 依赖 的 每 种 操作 系统 和 浏览 器 配置 单独 运 
行 一 台 机 器 。 解 决 方法 就 是 使 用 虚拟 机 ， 这 样 你 就 能 通过 配置 一 台 计 算 机 来 运行 多 个 虚拟 
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机 。 每 个 虚拟 机 会 代表 用 于 测试 的 一 种 用 户 配置 。 


使 用 虚拟 机 还 有 另外 一 个 理由 。 当 虚拟 系统 被 你 制造 的 攻击 击 垮 时 ， 你 可 以 简单 地 停 掉 
它 ， 删 除 相关 文件 ， 并 从 保存 在 硬盘 中 的 基线 配置 中 创造 出 新 的 副本 。 你 可 以 在 几 分 钟 内 
就 搭建 出 新 的 测试 系统 ， 而 不 需要 花 上 几 小 时 。 


虚拟 机 可 以 解决 搭建 系统 中 的 许多 问题 ， 但 你 也 需要 考虑 高 端 硬件 的 需求 以 使 其 可 正常 工 
作 。 动 力 不 足 的 系统 无 法 产生 可 用 于 评估 安全 问题 的 结果 。 你 能 在 一 台 物 理 机 器 上 创建 的 
虚拟 系统 的 数量 受 限 于 内 存 大 小 、 处 理 周期 以 及 在 这 一 过 程 中 系统 必须 使 用 的 其 他 资源 。 


虚拟 机 操作 软件 能 够 提供 你 想 要 测试 的 各 种 平台 ， 这 也 很 关键 。VMWare (http:/ 
partnerweb.vmware.com/GOSIG/home.html) 等 产品 可 以 支持 大 部 分 主流 操作 系统 。 当 然 ， 
这 种 支持 会 有 额外 的 开销 。 

有 些 公司 会 采用 仍然 可 以 使 用 的 旧 系 统 来 做 测试 ， 这 是 虚拟 化 的 一 种 禁 代 方 案 ， 但 这 些 系 
统 并 没有 它们 曾经 在 生产 环境 中 时 那样 有 用 。 由 于 Web 应 用 程序 工作 方式 的 特点 ， 这 些 旧 
系统 通常 可 以 提供 所 需 的 各 种 计算 能 力 并 让 公司 继续 从 旧 设 备 中 受益 。 当 然 ， 维 护 这 些 旧 
系统 也 会 有 一 笔 开 销 ， 所 以 你 需要 权衡 使 用 虚拟 机 及 使 用 旧 系 统 的 成 本 差异 (或 者 可 以 将 
两 者 相 结 合 )。 


9.2.5 ”获取 工具 
除非 你 想 要 写 自己 的 安全 工具 软件 〈 一 个 毫 无 疑问 的 坏 想 法 ) ， 否 则 就 需要 从 别处 获取 它 


们 。 幸 运 的 是 ，McAfee (http://www.mcafee.com/us/downloads/free-tools/index.aspx) 等 网 

站 会 提供 各 种 免费 工具 ， 你 可 以 用 它们 来 执行 以 下 任务 。 

。 检测 主机 系统 里 的 恶意 软件 

。 评估 系统 是 否 易于 遭受 攻击 

。 在 遭受 一 次 攻击 后 执行 诊断 分 析 

。 使 用 Foundstone 的 软件 应 用 安全 服务 (Software Application Security Services，SASS ) 
工具 让 应 用 程序 更 安全 

。 确定 入 侵 发 生 的 时 间 

。 扫描 系统 的 各 种 弱点 

。 对 系统 进行 压力 测试 


9.2.6 配置 系统 

从 一 个 干净 的 配置 开始 搭建 系统 对 于 遭受 攻击 后 的 系统 进行 诊断 测试 是 很 重要 的 。 在 你 安 
装 任何 软件 或 执行 任何 配置 操作 之 前 ， 请 确保 你 用 零 做 了 擦 除 (在 各 个 地 方 写 上 零 )。 许 
多 软件 产品 会 让 你 执行 这 一 任务 。 将 磁盘 写 满 零 可 以 确保 你 看 到 的 任何 数据 都 是 你 测试 的 
结果 ， 而 不 是 前 一 次 安装 遗留 下 来 的 信息 。 

从 一 开始 就 为 你 想 要 支持 的 每 个 平台 创建 一 个 干净 的 配置 是 很 重要 的 。 请 确保 副本 是 你 从 
配置 镜像 中 和 弄 出 来 的 ， 这 样 你 就 能 在 以 后 恢复 它 。 配 置 应 该 包含 操作 系统 、 剖 览 器 ， 以 及 
任何 支持 测试 环境 所 需要 的 测试 软件 。 你 也 可 能 需要 包含 用 户 通常 会 安装 在 系统 中 的 软件 
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(如 果 Web 应 用 程序 会 以 任何 方式 与 其 交互 ) 。 


Norton Ghost (http:Wwww.symantec.com/page.jsp?id=ghost) 等 产品 可 以 非常 
容易 地 创建 每 个 配置 的 镜像 。 在 你 对 自己 创建 的 干净 配置 做 任何 事 之 前 ， 请 
确保 脑 中 有 一 个 镜像 创建 策略 。 随 后 当 你 通过 攻击 破坏 了 配置 之 后 ， 将 需要 
干净 的 镜像 来 恢复 配置 。 















































除了 标准 的 软件 ， 你 可 能 需要 安装 远程 访问 软件 ， 这 样 你 可 以 在 物理 安全 的 测试 区 域 之 外 
远程 访问 系统 。 外 部 访问 必须 使 用 物理 隔绝 的 网 络 来 确保 没有 污染 生产 环境 的 风险 。 远 程 
访问 软件 的 使 用 可 以 让 一 名 以 上 的 测试 者 从 他 们 日 常 的 办 公 场 所 根据 需要 访问 系统 ， 而 不 
必 从 物理 上 安全 的 区 域 进行 访问 。 


有 些 公司 用 KVM (键盘 、 视 频 和 鼠标 ) 交换 机 提供 可 访问 测试 系统 的 工作 
站 。 采 用 一 个 KVM 配置 和 一 个 传输 器 就 可 以 从 远程 轻松 切换 多 个 测试 系统 。 
但 是 ， 使 用 远程 访问 软件 可 能 会 更 灵活 和 快捷 。 


























9.2.7 ”恢复 系统 


用 不 了 多 久 你 的 测试 系统 就 会 需要 恢复 。 你 用 来 测试 的 病毒 、 广 告 软件 和 木马 只 是 其 中 的 一 
个 问题 来 源 。 执 行 入 侵 并 确定 破坏 应 用 程序 的 难度 终究 会 损坏 操作 系统 、 测 试 应 用 、 测 试 数 
据 以 及 用 于 保护 系统 的 对 策 。 总 之 ， 你 需要 一 种 方法 来 快速 将 系统 恢复 到 某 个 已 知 状态 。 


恢复 还 包括 重新 配置 系统 以 模拟 另 一 个 环境 。 使 用 镜像 来 快速 创建 各 种 测试 环境 是 值得 
的 。 如 前 面 提 到 的 ， 使 用 虚拟 机 会 市 省 大 量 时间 ， 因 为 你 不 必 每 一 次 都 从 头 开始 重建 硬 
盘 驱 动 。 但 是 请 确保 你 在 其 他 的 硬盘 、DVD 或 其 他 存储 介质 中 也 有 每 个 操作 系统 的 镜像 ， 
因为 硬盘 终究 会 遭 到 损坏 。 


9.3 ”定义 最 常见 的 漏洞 源 

每 天 都 有 新 的 安全 漏洞 出 现 。 任 何人 都 不 可 能 跟 进 所 有 的 漏洞 。 但 是 ， 某 些 安全 漏洞 需要 
特别 关注 ， 而 其 他 漏洞 可 能 未 来 才 会 碰 到 。 当 然 ， 最 好 是 有 一 套 有 条 理 的 方法 来 定位 安全 
漏洞 ， 而 OWASP 提供 的 清单 (https:/www.owasp.org/index.php/Web_Application_Security_ 
Testing_Cheat_Sheet) 无 疑 是 一 个 正确 的 开始 。 

一 且 你 了 解 了 应 用 程序 可 能 存在 的 攻击 途径 ， 就 可 以 对 它们 进行 打分 ， 这 样 就 能 知道 哪些 
漏洞 需要 优先 修复 。 一 种 能 让 他 人 访问 公 司 所 有 野餐 照片 的 攻击 ， 其 修复 优先 级 要 远 远 低 
于 让 别人 访问 客户 信用 卡 信息 的 攻击 。 用 来 对 入 在 的 攻击 途径 进行 打分 的 最 好 系统 之 一 
是 通用 安全 漏洞 评分 系统 (Common Vulnerability Scoring System, CVSS, http://www .first. 
org/cvss/v2/faq) 。 使 用 这 个 系统 可 帮 你 创建 一 份 有 条 理 的 问题 清单 ， 你 可 以 根据 它 来 进行 
处 理 ， 从 而 使 你 的 应 用 程序 更 加 安全 。 


当然 ， 它 还 会 帮 你 弄 清楚 要 测试 什么 。 为 此 ， 接 下 来 会 描述 本 书 撰写 时 最 常见 的 安全 漏洞 
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源 。( 这 以 你 从 第 1 章 获取 的 关于 基本 攻击 的 信息 为 基础 。) 当 本 书 出 版 时 你 可 能 会 发 现 更 
多 的 安全 漏洞 ， 因 为 如 果 在 破坏 软件 方面 没有 创造 力 ， 黑 客 就 不 是 黑客 了 。 


你 无 法 对 黑客 会 使 用 的 每 一 种 可 能 的 漏洞 源 进行 分 类 。 事 实 上 ， 黑 客 常常 利 
用 误导 (非常 像 魔术 师 ) 来 阻止 你 意识 到 正在 发 生 什么 。 一 篇 最 近 的 关于 
波兰 航空 公司 (LOT Polish airlines) 的 新 闻 (http:/www.computerworld.com/ 
article/2938486/security/cyberattack-grounds-planes-in-poland.html) 可 用 来 说 明 
误导 的 后 果 。 在 这 个 例子 里 ， 当 局 花 了 大 量 时 间 和 资源 来 确保 飞行 系统 不 会 
受到 六 在 攻击 的 影响 。 但 是 ， 他 们 并 没有 在 地 面 系 统 上 花 太 多 力气 。 黑 客 设 
法 入 侵 了 地 面 系 统 并 使 其 无 法 为 出 国 乘客 创建 飞行 计划 。 这 个 攻击 是 通过 影 
响 飞 行 系统 还 是 通过 影响 地 面 控制 来 让 飞机 停 飞 已 经 不 重要 了 ， 重 要 的 是 飞 
机 无 法 起 飞 。 黑 客 通 过 误导 达到 了 目的 。 这 个 例子 告诉 你 需要 查看 每 一 处 地 
方 ， 而 不 仅仅 是 根据 最 近 的 统计 得 出 的 黑客 会 攻击 的 地 方 。 






















































































9.3.1 避免 SQL 注入 攻击 


SQL 注入 攻击 有 多 种 形式 。 例 如 ， 你 会 处 理应 用 程序 中 的 表单 数据 来 确定 该 表单 是 否 能 够 
发 送 命 令 到 后 端 服务 器 。 但 是 ， 最 好 是 首先 有 一 个 检查 潜在 SQL 注入 攻击 的 通用 方法 。 
假设 你 有 一 个 像 http:/www.mysite.com/index.php?itemid=10 这 样 的 URL。 你 会 在 很 多 网 站 
上 看 到 类 似 结构 的 URL。 检 查 漏洞 的 一 个 方法 是 简单 地 在 URL 后 面 加 上 一 个 单 引 号 ， 使 
其 成 为 http:/www.mysite.com/index.php?itemid=10'。 当 你 按 下 回 车 ， 网 站 会 发 送 回 一 段 
SQL 错误 消息 。 这 个 消息 会 根据 系统 有 所 不 同 ， 关 键 是 后 端 服务 器 会 接收 你 的 URL 作为 
SQL 请 求 ， 它 会 被 拼 成 类 似 这 样 的 格式 : SELECT * WHERE itemid='10''。 多 出 来 的 单 引 号 
会 使 查询 不 合法 ， 从 而 产生 错误 。 


当 你 真 的 在 自己 的 应 用 程序 中 发 现 一 个 别人 可 以 利用 的 问题 时 ， 很 重要 的 是 
要 让 整个 开发 团队 认识 到 它 。 把 问题 展示 出 来 ， 让 每 个 人 都 能 看 到 它 是 如 何 
工作 的 以 及 需要 做 什么 来 修复 它 ， 这 对 于 任何 公司 来 说 都 是 开发 人 员 训 练 中 
很 重要 的 一 部 分 。 浏 览 器 攻击 框架 (Browser Exploitation Framework, BeEF, 
网 址 为 http://beefproject.com/) 等 产品 可 帮 你 找 出 攻击 途径 ， 然 后 展示 给 公 
司 的 其 他 人 。 
























































你 现在 可 以 开始 操作 URL 来 看 看 会 发 生 人 什么。 例如， 你 想 看 看 查询 会 产生 多 少 列 数据 以 
及 这 些 列 都 是 什么 。 可 以 使 用 ORDER BY 这 样 的 SQL 语句 来 执行 这 一 任务 。 改 变 一 下 URL 
使 其 包含 ORDER BY 语句 ， 就 像 这 样 : http:/www.mysite.com/index.php?itemid=10' ORDER 
BY 1。 这 与 输入 SELECT * WHERE itemid='10' ORDER BY 1 这 样 的 命令 是 一 样 的 效果 。 通 
过 在 每 次 请 求 中 给 ORDER BY 的 值 加 1， 你 最 终 会 看 到 一 个 错误 。 假 如 当 你 尝试 到 ORDER BY 
19 时 看 到 了 错误 ， 那 么 可 以 确定 在 这 个 例子 中 请 求 会 产生 9 列 数据 。 


黑客 会 继续 在 URL 中 加 入 SQL 命令 来 了 解 更 多 数据 库 的 查询 结果 。 例 如 ， 使 用 SELECT 语 
句 可 以 帮 你 确定 哪些 数据 会 出 现在 屏幕 上 。 你 也 可 以 请 求 特殊 的 信息 作为 SELECT 语句 的 一 
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部 分 ， 比 如 使 用 eeversion 来 获得 SQL 服务 器 的 版 本 号 (会 给 你 一 些 关 于 该 SQL 服务 器 
可 能 存在 缺陷 的 信息 )。 这 里 的 关键 是 原始 的 URL 可 以 直接 访问 SQL 服务 器 ， 使 得 别人 完 
全 不 需要 做 太 多 工作 就 可 以 控制 SQL 服务 器 。 

你 可 以 在 网 页 http://www.w3schools.com/sql/sql_injection.asp 上 看 到 另 一 种 SQL 注入 攻击 。 
这 些 攻击 根本 的 原因 是 开发 人 员 直 接 使 用 来 自 页 面 或 请 求 中 的 数据 ， 而 没有 首先 检查 其 是 
否 有 问题 并 将 错误 信息 移 除 。 


9.3.2 ”理解 跨 站 脚本 攻击 


XSS 在 攻击 方式 上 与 SQL 注入 有 很 多 相似 之 处 ， 但 实际 上 这 两 种 技术 是 不 同 的 。XSS 有 
两 种 类 型 : 非 持久 的 (攻击 依赖 用 户 访问 某 个 专门 制作 的 链接 ) 和 持久 的 (攻击 代码 保存 
在 间接 的 存储 媒介 中 ， 比 如 数据 库 )。 这 两 种 攻击 都 依赖 JavaScript 代码 被 放 到 你 不 希望 它 
们 出 现 的 地 方 。 

作为 一 个 非 持久 XSS 攻击 的 例子 ， 可 以 看 看 链接 http:/www.mysite.com/index.php?name=guest。 
它 看 起 来 像 是 一 个 完全 无 害 的 链接 ， 带 有 一 个 名 / 值 对 。 但 是 ， 如 果 你 将 一 段 脚本 加 入 到 其 
中 ， 比 如 http:/www.mysite.com/index.php?7name=guest<script>alert(XSS')</script>， 用 户 会 看 到 
一 个 对 话 框 弹出 来 ， 带 有 信息 XSS。 这 个 例子 不 会 造成 任何 破坏 ， 但 这 个 脚本 可 以 轻易 地 做 
任何 你 在 脚本 中 可 做 的 事情 。 例 如 ， 你 可 以 定制 脚本 ， 让 它 把 用 户 重 定 向 到 另 一 个 网 站 ， 那 
个 页 面 会 下 载 一 个 病毒 或 其 他 恶意 软件 。 


这 个 例子 用 直接 的 文本 展示 了 <script> 标签 。 实 际 的 攻击 会 对 <script> 
标签 编码 ， 这 样 用 户 就 不 能 轻易 地 识别 出 它 。 用 户 看 到 的 会 是 一 个 很 长 的 
URL， 带 有 一 些 很 复杂 的 % 值 ， 就 像 平时 在 合法 的 URL 中 看 到 的 那样 。 






































一 个 持久 的 XSS 攻击 会 比较 难 实现 ， 但 会 造成 更 大 的 破坏 。 例 如 ， 想 象 用 户 登 录 应 用 程 
序 之 后 会 发 生 什 么 。 服 务 器 会 将 一 个 会 话 ID 作为 cookie 发 送 回 用 户 的 机 器 。 之 后 的 每 次 
请 求 都 会 使 用 这 个 会 话 ID ， 这 样 应 用 程序 就 能 维持 这 个 用 户 的 状态 信息 。 假 如 攻击 者 将 经 
过 特别 定制 的 脚本 发 送 给 服务 器 作为 登录 过 程 的 一 部 分 ， 那 么 它 会 被 保存 到 数据 库 中 ， 用 
的 名 称 是 管理 员 几 乎 肯定 会 去 查看 的 名 称 。 当 管理 员 点 击 用 户 名 时 ， 这 个 脚本 会 执行 并 
会 将 管理 员 的 会 话 ID 发 送 给 攻击 者 。 攻 击 者 现在 拥有 了 能 操作 其 他 会 话 的 管理 员 权 限 ， 
他 可 以 执行 任何 管理 员 级 别 的 操作 。 你 可 以 在 网 页 https://www.acunetix.com/blog/articles/ 
persistent-cross-site-scripting/ 上 获得 更 多 关于 持久 XSS 的 详细 信息 。 

在 这 两 种 情况 下 ， 防 御 XSS 的 最 佳 方法 就 是 对 任何 你 接收 到 的 输入 进行 净化 。 净 化 输入 的 
过 程 会 移 除 任何 脚本 、 怪 异 的 字符 或 其 他 不 期 望 出 现在 响应 中 的 信息 。 例 如 ， 当 你 期 望 一 
个 数字 型 的 输入 时 ， 响 应 不 能 是 包含 有 字母 的 字符 。 


输出 经 过 编码 的 用 户 数据 有 助 于 减少 潜在 的 XSS 风险 。 黑 客 仍然 可 以 绕 过 编 
码 ， 但 需要 额外 的 时 间 和 精力 来 这 样 做 。 你 所 做 的 任何 会 提高 攻击 难度 的 事 
情 都 会 增加 黑客 转移 目标 的 愿望 ， 但 是 你 还 要 记 住 ,一 名 坚定 的 黑客 总 是 能 
破坏 你 的 安全 。 
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9.3.3 解决 拒绝 服务 攻击 问题 
DOS 攻击 的 思想 是 相对 直接 的 。 你 找到 服务 器 上 的 一 个 开放 端口 并 持续 发 送 没 有 意义 的 
包 给 它 ， 从 而 压 垮 相关 的 服务 。 大 部 分 服务 器 都 有 提供 开放 端口 的 服务 ， 比 如 以 下 这 些 服 


务 器 。 

















。 DNS 服务 器 
。 Email 服务 器 
。 FTP 服务 器 
。 Telnet 服务 器 
。 Web 服务 器 


当然 ， 你 开放 越 多 的 端口 ， 服 务 绒 被 压 震 的 机 会 就 越 大 。 防 御 的 第 一 条 是 通过 下 线 不 需要 的 
服务 来 关闭 不 需要 的 端口 。 一 个 应 用 服务 器 可 能 只 需要 作为 Web 服务 器 ， 那 么 这 就 是 你 唯 
一 应 该 安装 的 服务 。 作 为 一 名 应 用 开发 人 员 ， 你 要 建议 下 线 其 他 服务 〈 至 少 不 要 启用 它们 )。 
当 创建 某 个 私有 应 用 程序 时 ， 采 用 非 标准 的 端口 也 是 有 帮助 的 ， 比 如 请 求 认证 的 时 候 。 

黑客 通常 会 寻找 没有 最 大 连接 数 的 服务 ， 所 以 要 确保 最 大 连接 数 是 服务 器 能 处 理 的 值 ， 这 
是 另 一 个 正确 的 步骤 。DOS 攻击 中 最 重要 的 是 让 服务 器 一 直 运 作 ， 比 如 让 Web 服务 器 执 
行 一 次 复杂 的 搜索 。 认 证 机 制 有 助 于 防止 黑客 在 没有 适当 认证 时 发 起 请 求 。 

还 有 ， 如 果 有 足够 多 的 系统 在 发 送 无 尽 的 没有 价值 的 请 求 ， 也 可 能 把 服务 器 拖 垮 。 一 些 抵 
挡 DOS 攻击 的 措施 包括 寻找 该 请 求 可 匹配 的 模式 然后 简单 地 拒绝 它们 ， 而 不 是 花费 系统 
资源 去 处 理 这 些 请 求 。 你 可 以 在 网 页 http://resources.infosecinstitute.com/dosattacks-free-dos- 
attacking-tools/ 上 找到 大 量 DOS 攻击 工具 来 测试 你 的 系统 。 此 外 ， 除 了 自己 去 查找 攻击 的 
匹配 模式 并 解决 它们 ， 你 还 可 以 尝试 采取 以 下 措施 。 

。 购买 专门 设计 用 来 对 抗 DOS 攻击 的 设备 
。 依靠 网 络 服务 提供 商 (ISP) 来 检测 并 消除 DOS 攻击 
。 获取 云 缓 存 提供 商 的 服务 


9.3.4 去 除 可 预测 的 资源 定位 

通过 了 解 特定 资源 的 位 置 ， 然 后 使 用 这 些 资 源 来 获取 访问 系统 的 足够 信息 ， 是 有 可 能 对 系 
统 发 起 攻击 的 。 有 些 网 站 还 将 这 种 攻击 称 为 强制 浏览 。 当 然 ， 防 止 这 种 攻击 的 最 佳 方 式 古 
将 资源 放 在 不 可 预测 的 位 置 。 此 外 ， 你 要 确保 认证 体系 是 有 效 的 并 且 资 源 是 安全 的 。 无 论 
如 何 ， 让 我 们 看 看 这 种 攻击 是 如 何 发 生 的 。 

这 种 攻击 的 一 个 例子 是 ， 识 别 一 个 指向 合法 资源 的 URL 并 使 用 这 个 URL 去 访问 属于 另 一 
个 人 的 资源 。 假 如 你 在 网 页 http://www.mysite.com/Sam/10/01/2015 上 保存 了 你 革 一 天 的 日 
程 安排 ， 而 你 想 要 看 看 Amy 在 同一 天 的 日 程 安排 。 如 果 管 理 员 没有 正确 配置 服务 器 的 认 
证 ， 将 URL 改 为 http:/www.mysite.com/Amy/10/01/2015 就 有 可 能 可 以 正常 访问 到 该 信息 。 
另 一 个 例子 是 ， 某 些 服务 器 会 把 信息 放 在 特定 的 目录 下 。 例 如 ， 你 可 能 认证 了 对 http:/ 
www.mysite.com/myapp/app.html 的 访问 ， 但 是 你 可 以 将 URL 改 为 http://www.mysite.com/ 
system/ 来 看 看 其 是 否 存在 。 如 果 你 从 服务 器 得 到 一 个 200 的 啊 应 ， 那 么 这 个 目录 就 存在 ， 
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你 就 可 以 开始 请 求 它 来 获得 有 用 的 信息 。 当 然 ， 这 里 假设 管理 员 没 有 给 系统 目录 加 上 适当 
的 安全 措施 ， 并 且 system 是 一 个 标准 的 目录 位 置 。 管 理 员 总 是 可 以 更 改 系统 目录 的 名 称 ， 
还 可 以 确保 只 有 拥有 适当 凭据 的 人 员 才 可 以 访问 它 。 


9.3.5 “克服 无 意 的 信息 泄露 


无 意 的 信息 泄露 会 以 各 种 方式 发 生 。 但 是 ， 这 类 攻击 通常 涉及 黑客 未 经 授权 地 访问 某 个 集 
中 式 数 据 库 。 以 前 ， 信 息 源 是 网 络 信息 系统 (Network Information System，NIS) 这 样 的 东 
西 。 但 是 ， 今 天 的 信息 可 能 有 任何 来 源 ， 这 些 来 源 不 够 安全 或 有 黑客 可 利用 的 缺陷 。 这 样 
的 源头 有 很 多 ， 实 在 不 可 能 用 一 个 简单 例子 将 它们 都 展示 出 来 。 你 可 以 通过 以 下 措施 来 克 
服 这 类 问题 。 

。 给 操作 系统 、 服 务 、 应 用 环境 、 库 、API 和 微服 务 打 上 必需 的 补丁 

。 配置 边界 路 由 器 和 防火 墙 来 阻止 从 敏感 来 源 发 起 的 信息 请 求 

。 限制 对 所 有 敏感 信息 源 的 访问 

。 永远 不 要 硬 编码 密码 并 把 它们 放 在 别人 能 轻易 找到 的 地 方 

。 对 任何 敏感 信息 源 使 用 双 因 素 认 证 

。 执行 审核 来 查找 潜在 的 漏洞 (即使 你 感到 系统 完全 安全 ) 

。 使 用 评估 工具 来 确定 是 否 存 在 从 指定 位 置 外 的 任何 位 置 访问 敏感 信息 源 的 可 能 


9.4 在 BYOD 环 境 中 进行 测试 


BYOD 现象 在 持续 增强 。 重 要 的 是 要 认识 到 BYOD 不 会 消失 。 事 实 上 ， 你 可 能 已 经 认识 
到 BYOD 在 某 些 方面 正在 变 成 给 用 户 提供 设备 的 最 佳 方法 。 公 司 最 终 会 告诉 用 户 携带 任何 
完成 工作 所 需 的 设备 ， 并 且 把 所 有 东西 都 交 给 用 户 。 这 听 起 来 像 是 一 场 灾 难 ， 但 这 是 用 户 
现在 正在 做 的 事情 。 

根据 Gartner 公司 的 报告 ， 到 2017 年 ， 一 半 的 公司 将 不 再 提供 任何 设备 给 用 户 (请 参阅 
http://www.gartner.com/newsroom/id/2466615)。 些 外， 到 2020 年 ，75% 的 用 户 会 用 不 到 
100 美元 来 购买 一 部 智能 手机 (请 参阅 http://www.gartner.com/newsroom/id/2939217)， 所 以 
获取 一 部 足够 智能 的 、 能 完成 大 部 分 任务 的 设备 不 会 很 昂贵 。 创 建 并 管理 应 用 程序 会 更 加 
困难 ， 因 为 你 必须 确保 应 用 程序 确实 能 在 任何 地 点 和 任何 设备 上 运行 。 当 然 ， 它 还 不 能 破 
坏 公司 的 安全 。 接 下 来 会 帮 你 为 BYOD 环境 提供 某 些 级 别 的 测试 和 隔离 。 


还 有 一 点 很 重要 ， 要 认识 到 用 户 现在 越 来 越 倾向 于 使 用 自 带 应 用 程序 (bring 
your own application，BYOA)。 一 个 非常 重要 的 原因 是 ， 它 给 应 用 环境 引入 
了 另 一 种 级 别 的 不 可 预测 性 。 你 永远 无 法 知道 另 一 个 应 用 程序 何 时 会 使 你 的 
应 用 程序 出 现 问 题 。 事 实 上 ， 第 三 方 应 用 程序 会 为 你 的 公司 遭遇 的 下 一 个 主 
要 漏洞 提供 渠道 。 用 户 肯 定 会 继续 使 用 Dropbox、Google Docs 和 CloudOn 
等 应 用 程序 ， 因 为 它们 很 方便 且 能 在 任何 地 方 运行 。 为 了 确保 应 用 环境 的 完 
整 性 ， 你 需要 继续 将 这 些 应 用 程序 看 作 正 在 等 着 摧毁 你 的 污染 物 。 
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BYOA 是 一 个 问题 ， 其 中 一 个 原因 是 公司 会 失去 对 数据 的 控制 。 如 果 用 户 将 
公司 数据 保存 在 Dropbox 的 个 人 账户 里 ， 公 司 不 能 轻易 地 在 发 生 紧急 情况 时 
找 回 这 些 数据 。 总 之 ，BYOA 打开 了 严重 的 安全 漏洞 ， 这 可 能 对 你 想 要 保护 
的 任何 应 用 数据 都 是 一 个 问题 。 














9.4.1 配置 远程 访问 区 域 

当 在 BYOD 环境 中 工作 时 ， 最 好 假设 设备 环境 是 不 安全 的 且 无 法 简单 地 使 其 变 得 安全 。 为 

此 ，BYOD 会 话 通常 有 以 下 4 个 阶段 。 

(1) 客户 端 和 服务 器 端 创建 一 个 安全 的 管道 以 使 得 外 部 难以 窃听 。 其 目的 是 防止 中 间 人 攻击 。 

(2) 用 户 提供 两 种 形式 的 认证 。 一 个 双重 认证 过 程 会 使 别人 不 太 可 能 成 功 地 模拟 该 用 户 。 

(3) 客户 端 发 起 一 个 或 多 个 请 求 ， 而 服务 器 端 使 用 一 个 服务 中 转 模块 来 进行 中 转 。 服 务 中 转 
模块 只 处 理 对 合法 服务 的 请 求 。 服 务 中 转 模块 会 自动 记录 每 次 请 求 是 成 功 还 是 失败 。 

(4) 服务 隔离 模块 只 提供 对 公共 数据 的 访问 。 它 不 允许 对 敏感 数据 进行 访问 。 客 户 端 只 能 看 
到 公司 认为 在 BYOD 环境 下 可 接受 的 数据 。 

远程 访问 区 域 属于 阶段 1 和 阶段 2 的 部 分 。 它 包括 一 个 外 部 防火 墙 和 一 个 VPN 以 及 认证 

网 关 。 远 程 访问 区 域 提 供 了 对 抗 入 侵 的 第 一 级 别 的 防卫 。 


从 用 户 那里 收集 的 信息 必须 体现 为 你 的 应 用 程序 策略 的 一 部 分 。 一 次 BYOD 访问 不 同 于 公 
司 桌面 系统 发 起 的 本 地 访问 ， 你 无 法 知道 访问 发 生 在 何 处 或 设备 本 身 是 否 安全 。 当 用 户 以 
这 种 方式 访问 应 用 程序 时 ， 你 需要 提供 一 种 匹配 所 使 用 设备 的 角色 。 这 意味 着 你 不 能 让 任 
何 敏感 数据 出 现在 这 个 设备 上 且 可 能 限制 对 其 他 数据 的 访问 。 例 如 ， 你 的 公司 可 能 认为 让 
某 个 客户 端 获 得 销售 列表 是 可 接受 的 ， 但 这 个 列表 是 只 读 的 ， 这 意味 着 用 户 不 能 对 销售 列 
表 做 任何 改动 。 为 了 做 出 更 改 ， 用 户 需要 从 本 地 系统 登录 账户 。 
使 用 远程 访问 区 域 也 意味 着 公司 要 配置 移动 设备 管理 (mobile device management， 
MDM)。 这 是 有 助 于 确保 移动 设备 尽 可 能 保持 安全 的 一 些 产品 和 服务 。 例 如 ，MDM 会 检 
查 移动 设备 的 补丁 要 求 ， 并 确保 在 访问 应 用 程序 之 前 给 设备 打上 补丁 〈 你 可 以 自动 为 设备 
打上 补丁 )。 就 算 有 MDM， 当 出 现 以 下 情况 时 ， 你 也 不 能 假设 设备 是 安全 的 。 
。 设备 报告 了 一 些 与 安全 配置 有 关 的 值 ， 但 你 的 公司 实际 上 并 没有 实现 这 些 特定 的 值 。 一 
个 恶意 软件 的 开发 人 员 不 会 知道 哪些 值 需要 上 报 ， 所 以 会 简单 地 将 它们 全 都 上 报 。 
。 其 他 机 构 会 覆盖 设备 的 设置 。 例 如 ， 一 个 智能 手机 供应 商会 在 你 的 控制 之 外 自动 给 设备 
打 补 本 ， 你 必须 假设 其 中 一 些 补丁 会 包含 病毒 或 其 他 恶意 软件 。 
。 不 可 能 给 移动 设备 强加 设置 。 设 备 可 能 不 提供 所 需 的 支持 ， 可 能 没有 将 应 用 程序 配置 为 
支持 该 设备 ， 或 者 有 恶意 软件 干扰 其 更 新 。 


9.4.2 ”检查 跨 应 用 程序 的 攻击 


跨 应 用 程序 攻击 是 指 一 个 应 用 程序 获取 另 一 个 应 用 程序 使 用 的 数据 或 资源 。 在 许多 情况 
下 ， 攻 击发 生 于 两 个 应 用 程序 访问 相同 的 数据 源 时 〈 跨 应 用 的 资源 访问 或 XARA)。 最 近 
的 一 次 这 种 攻击 是 针对 OS X 和 iOS 操作 系统 的 (请 参阅 网 页 http://oversitesentry.com/xara- 








































































































































































































144 | 第 9 章 


an-old-way-to-hack-cross-application-resourceaccess/， 获 取 相 关 资 料 ) 。 


另 一 种 类 型 的 跨 应 用 程序 问题 是 跨 应 用 脚本 (cross-application scripting，CAS)。 在 这 种 情 
况 下 ，JavaScript 代码 在 某 些 类 型 的 应 用 程序 中 执行 时 ，bug 会 导致 问题 。 你 可 以 在 网 页 
http://news.softpedia.com/news/Apache-Cordova-for-Android-Patched-Against-Cross-Application- 
Scripting-453942.shtml 上 查看 针对 Android 的 这 种 攻击 。 


验证 你 的 应 用 程序 不 会 在 这 种 攻击 中 流露 数据 的 最 佳 方式 是 持续 关注 你 要 支持 的 平台 的 新 闻 。 
你 需要 一 名 安全 专家 来 找 出 潜在 的 这 类 问题 。 遗 憾 的 是 ， 如 果 禁 止 从 操作 系统 或 浏览 器 供应 
商 中 获取 补丁 ， 你 就 不 能 真正 对 这 种 攻击 做 太 多 事情 ， 只 能 保持 警惕 ， 检 查 数 据 存储 可 能 遭 
到 的 破坏 。 当 然 ， 这 种 问题 只 会 给 创建 远程 访问 区 域 提供 更 多 的 凭据 ( 见 本 章 前 面 的 部 分 )。 


9.4.3 ”处 理 真正 古老 的 设备 和 软件 


研究 机 构 喜 欢 描 述 美丽 的 蓝图 ， 讲 述 未 来 看 起 来 会 是 什么 样子 。 当 然 ， 其 中 一 些 梦 想 
真 的 会 实现 ， 但 他 们 不 会 考虑 当前 在 用 的 用 户 设备 的 规模 的 现实 。 例 如 ， 在 发 现 (在 
本 书 编写 时 ) 95% 的 ATM 机 还 在 使 用 Windows XP 操作 系统 时 (http://info.rippleshot. 
com/blog/windows-xp-stillruanning-95-percent-atms-world)， 某 些 人 可 能 会 感到 麻烦 。 美 国 
海军 仍然 在 100 000 台 桌面 电脑 上 使 用 Windows XP (http://arstechnica.com/information- 
technology/2015/06/navy-re-upswith-microsoft-for-more-windows-xp-support/)。 是 的 ， 旧 的 、 
古老 的 、 破 旧 的 软件 仍然 存在 ， 并 且 你 可 能 发 现 它们 还 被 用 来 运行 你 的 应 用 程序 。 


根 据 NetMarketShare (http://www.netmarketshare.com/operating-system-market-share.aspx?qprid= 
10&qpcu- stomd=0) 的 数据 ，Windows XP 仍然 有 高 达 14.6% 的 系统 占有 量 。 重 要 的 是 要 
认识 到 当 你 创建 一 个 应 用 程序 时 ， 应 该 主要 关注 的 可 能 不 是 得 到 更 新 的 内 亮 的 新 智能 
手机 、 完 全 打 了 补丁 的 操作 系统 以 及 最 新 的 浏览 器 技术 。 真 正 需 要 关注 的 重点 可 能 是 
老 旧 的 Windows XP 系统 和 用 户 坚 持 使 用 的 IE8 浏览 器 。 很 有 趣 的 是 ，IE8 仍然 有 大 约 
25% 的 桌面 市 场 占有 量 (https://www.netmarketshare.com/browsermarket-share.aspx?qprid= 
2&qpcustomd=0)。 


当然 ， 你 总 是 可 以 尝试 强迫 用 户 升级 。 但 是 ， 如 果 你 已 经 处 理 BYOD 现象 足够 长 的 时 间 ， 
你 会 知道 用 户 只 会 忽略 你 。 是 的 ， 他 们 可 能 会 展示 给 你 一 个 内 亮 的 新 系统 ， 但 他 们 会 继续 
使 用 他 们 喜欢 的 系统 ， 而 那些 老 旧 的 东西 会 导致 应 用 程序 遭受 许多 灾难 。 
可 能 解决 过 时 设备 问题 的 唯一 方法 是 在 请 求 的 过 程 中 检查 浏览 器 数据 。 这 样 做 可 以 让 你 3 
择 是 否 让 请 求 成 功 发 送 。 当 浏览 器 非常 旧时 ， 你 可 以 显示 一 条 消息 ， 通 知 用 户 去 升级 他 们 
的 设备 。 网 页 http://sixrevisions.com/javascript/browser-detection-javascript/ 上 的 一 篇 文章 描 
述 了 如 何 执行 浏览 器 版 本 检查 。 你 可 以 在 网 页 https://www.cyscape.com/showbrow.asp 上 看 
到 自己 的 浏览 器 信息 。 这 个 方法 的 唯一 问题 在 于 有 些 时 候 检 查 可 能 失败 ， 并 且 有 些 浏 览 器 
还 会 错 报 版 本 信息 。 


9.5 依靠 用 户 测试 


没有 谁 能 用 比 用 户 更 暴力 和 更 不 可 预测 的 方式 来 测试 软件 。 大 部 分 开发 人 员 已 经 发 现 用 户 
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会 尝试 让 软件 做 一 些 它 们 明显 不 能 做 的 事情 ， 因 为 用 户 不 知道 软件 不 能 这 样 做 。 软 件 明 显 
能 做 的 事 与 用 户 让 它 做 的 事 无 关 ， 这 是 只 有 用 户 才能 够 做 的 严格 测试 。 

这 个 过 程 的 重要 之 处 在 于 它 会 给 开发 人 员 带 来 最 深 的 痛苦 。 任 何尝 试 使 用 户 测 试 变 得 有 条 
时 的 做 法 都 会 让 测试 失败 。 用 户 需 要 自由 地 操作 软件 。 事 实 上 ， 游 戏 时间 对 于 每 个 人 都 是 
好 的 ， 但 它 是 用 户 测试 的 一 个 关键 元 素 。 接 下 来 会 描述 你 应 该 如 何 让 用 户 操作 你 的 软件 ， 
并 发 现 似 乎 只 有 用 户 (显然 还 有 黑客 ) 才能 发 现 的 严重 安全 漏洞 。 


有 趣 的 是 ， 你 再 也 不 必 执 行 自 己 的 用 户 测试 。 如 果 你 真 的 想 要 一 个 广泛 的 测 
试用 户 基础 ， 但 又 没有 资源 这 样 做 ， 那 么 通常 可 以 使 用 User Testing (http:// 
wwwo.usertesting.com/) 这 样 的 网 站 。 理 论 上 ， 这 个 网 站 可 以 在 短 短 1 小 时 内 
(虽然 其 主页 上 说 可 以 在 20 分 钟 内 交付 结果 ) 提供 关于 你 的 应 用 程序 的 客观 
评价 。 

一 些 第 三 方 测 试 商 ， 比 如 Applause (http://www.applause.com/web-app-testing)， 
专门 提供 “广泛 的 ”测试 ， 你 的 应 用 程序 真 的 会 在 互联 网 上 被 未 知 的 用 户 使 
用 ， 就 像 其 在 生产 环境 中 一 样 。 当 然 ， 不 同 点 在 于 进行 的 测试 不 会 对 你 的 设 
备 产 生 任何 风险 ， 而 Applause 会 提供 所 需 的 工具 来 获取 可 测量 的 结果 。 一 般 
说 来 ， 你 要 等 到 应 用 程序 准备 发 布 且 你 想 要 执行 一 次 完整 性 检查 时 ， 再 进行 
这 个 级 别 的 测试 。 
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9.5.1 让 用 户 横 冲 直 撞 


有 时 候 ， 测 试 应 用 程序 的 最 佳 做 法 是 给 用 户 一 些 打印 的 步骤 和 一 个 目标 。 看 着 用 户 如 何 与 
应 用 程序 交互 ， 你 会 获得 很 多 关于 用 户 如 何 看 待 你 的 应 用 程序 以 及 你 需要 在 哪里 做 出 改变 
的 信息 。 事 实 上 ， 用 视频 录制 用 户 的 操作 会 有 所 帮助 ， 但 你 需要 认识 到 录像 行为 会 改变 用 
户 的 行为 。 键 盘 记 录 以 及 其 他 的 技术 也 有 助 于 记录 用 户 操作 应 用 程序 的 踪迹 ， 而 不 需要 站 
在 用 户 的 上 方 观察 他 们 (这 势必 会 改变 用 户 的 行为 且 你 的 测试 会 失败 )。 


幸运 的 是 ， 你 不 必 仅 仅 依靠 自己 手头 上 的 资源 。Mashable (http://mashable.com/2011/09/30/ 
website-usability-tools/) 等 网 站 会 提供 很 多 可 用 来 检测 Web 应 用 程序 问题 的 攻击 方法 。 这 
个 网 站 有 很 好 的 有 关 工 具 的 文档 ， 并 会 告诉 你 为 什么 每 个 工具 都 很 重要 。 最 重要 的 是 ， 这 
个 网 站 会 帮 你 理解 某 些 你 可 能 从 来 没有 考虑 过 的 测试 的 重要 性 。 例 如 ，Check My Colours 
(http://www.checkmycolours.com/) 会 验证 有 不 同 视 觉 需 求 的 人 是 否 能 真 的 看 清 你 的 网 站 。 
是 的 ， 使 用 错误 的 颜色 真 的 会 是 一 个 问题 ， 而 测试 这 个 问题 会 帮 你 避免 潜在 的 、 由 用 户 的 
错误 导致 的 安全 问题 。 

另 一 个 可 找到 测试 工具 的 好 地 方 是 The Daily Egg (http://blog.crazyegg.com/2013/08/08/web- 
usability-tools/) 。 这 个 网 站 上 的 某 些 工具 与 Mashable 网 站 上 的 是 一 样 的 ， 但 你 可 以 获得 更 
深入 的 理解 。 有 一 些 工 具 是 独家 的 。 例 如 ， 在 The Daily Egg 上 的 页 面 速度 工具 清单 就 比较 
好 ， 这 份 清单 包含 有 GTMetrix (https:Wgtmetrix.com/) ， 它 可 帮 你 定位 页 面 中 真正 慢 的 那 部 
分 代码 。 















































9.5.2 ”开发 可 重 现 的 步骤 
用 户 测试 的 一 部 分 是 要 获取 一 些 可 重 现 的 步骤 。 除 非 你 获取 了 这 类 信息 ， 否 则 就 不 能 真正 
解决 导致 问题 的 应 用 缺陷 。 这 就 是 你 需要 特定 的 测试 工具 来 记录 用 户 详细 操作 过 程 的 原 
因 。 让 用 户 重 现 产 生 错误 的 步骤 永远 都 不 会 奏效 。 在 许多 情况 下 ， 用 户 并 不 知道 错误 是 如 
何 产生 的 ， 并 且 只 会 感到 计算 机 不 喜欢 他 们 。 举 试 让 用 户 重 现 步 又 很 可 能 会 让 他 们 生气 ， 
并 使 他 们 不 喜欢 你 的 应 用 程序 〈 这 通常 会 导致 更 多 错误 和 更 多 安全 问题 )。 因 此 ， 你 需要 
在 首次 尝试 时 就 获取 重 现 错误 所 需 的 步骤 。 
为 了 创建 一 个 可 获得 最 佳 测 试 水 平 并 确保 用 户 有 很 大 机 会 发 现 潜 在 错误 的 环境 ， 你 需要 执 
行 特定 类 型 的 测试 。 让 用 户 横 冲 直 撞 来 发 现在 没有 任何 有 用 的 输入 时 他 们 会 做 什么 ， 但 混 
乱 很 难产 生 可 预测 的 结果 。 当 进行 用 户 测 试 时 ， 你 需要 考虑 以 下 这 些 类 型 的 测试 。 
。 功能 性 
测试 所 有 的 应 用 程序 功能 是 很 重要 的 。 这 意味 着 要 让 用 户 尝 试 表 单 、 执 行文 件 操作 和 
计算 任务 ,使 用 应 用 程序 功能 来 搜索 信息 ， 并 且 尝 试 应 用 程序 特性 提供 的 媒体 功能 。 
当 用 户 测 试 这 些 功 能 时 ， 请 确保 测试 也 检查 应 用 程序 用 来 执行 大 多 数 任务 的 库 、API 和 
微服 务 。 
。 UI 和 可 用 性 
UI 必须 保证 让 用 户 感 兴趣 并 为 任何 有 特殊 需要 的 人 提供 支持 。 作 为 这 一 级 别 的 测试 的 
一 部 分 ， 你 需要 检查 导航 、 可 访问 性 、 多 个 浏览 器 下 的 可 访问 性 、 错 误 消息 和 警告 、 你 
提供 的 帮助 和 任何 其 他 文档 ， 以 及 布局 。 
。 安全 性 
虽然 你 已 经 测试 过 应 用 程序 以 确定 其 是 否 有 9.3 市 列 出 来 的 常见 安全 漏洞 ， 你 还 是 需要 
让 用 户 来 测试 它们 。 看 看 用 户 是 否 会 用 与 你 相同 的 方式 使 应 用 程序 受到 破坏 。 找 到 可 产 
生 新 的 漏洞 条 件 的 用 户 操作 方式 。 
。 负载 与 可 伸缩 性 
你 不 可 能 完全 测试 一 个 应 用 程序 在 高 负载 下 的 表现 。 应 用 程序 的 性 能 会 随 着 负载 的 增加 
而 降低 ， 你 需要 确保 其 能 够 很 好 地 伸缩 。 但 是 ， 最 重要 的 是 ， 你 需要 验证 负载 不 会 导致 
安全 事故 发 生 。 无 论 负载 有 多 少 ， 应 用 程序 都 能 继续 工作 ， 知 道 这 一 点 很 重要 。 当 然 ， 
当 负 载 超过 预期 时 ， 应 用 程序 会 运行 得 慢 得 多 ， 但 这 与 真正 的 破坏 是 不 一 样 的 〈 例 如 ， 
放 某 人 进来 的 事故 )。 


9.5.3 ”让 用 户 发 声 

在 用 户 使 用 应 用 程序 之 后 对 其 进行 采访 ， 或 允许 用 户 对 应 用 程序 进行 抱怨 ， 这 是 发 现 更 多 
潜在 问题 的 好 途径 。 在 许多 情况 下 ， 由 于 预期 应 用 程序 会 被 中 断 ， 用 户 会 害怕 执行 某 些 步 
又 。 这 个 问题 甚至 在 测试 环境 中 也 会 发 生 ， 用 户 在 测试 环境 中 就 应 该 去 破坏 应 用 程序 。 你 
可 能 不 想 听 到 用 户 说 什么 ， 但 在 开发 阶段 听 到 用 户 的 反馈 比 把 应 用 程序 放 到 生产 环境 后 再 
发 现 严 重 问题 要 好 得 多 。 

收集 用 户 反 馈 的 另 一 种 方法 是 使 用 问卷 调查 。 一 次 匿名 的 问卷 调查 会 帮 你 获取 用 户 可 能 
于 提供 的 信息 。 重 要 的 是 要 考虑 压力 和 预知 风险 对 你 接收 到 的 用 户 反 馈 的 影响 。 
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9.6 ”使 用 外 部 的 安全 测试 人 员 


渗透 测试 要 依靠 第 三 方 的 服务 来 确定 一 个 应 用 程序 、 网 站 或 甚至 是 整个 公司 是 否 易于 遭受 
各 种 入 侵 。 攻 击 者 会 采用 与 黑客 相同 的 技术 来 探测 防御 措施 。 由 于 攻击 者 是 安全 方面 的 专 
家 ， 测 试 水 平 可 能 会 优 于 公司 自身 提供 的 测试 。 大 部 分 公司 会 因为 以 下 这 些 理由 而 使 用 外 
部 安全 测试 。 

。 定位 内 部 审核 时 遗漏 的 缺陷 

。 给 客户 和 第 三 方 提供 一 份 对 应 用 程序 安全 性 的 独立 评审 

。 在 公司 没有 任何 安全 专家 的 时 候 要 确保 安全 测试 是 完整 的 

。 验证 事件 管理 程序 的 有 效 性 

。 培训 事故 处 理 团队 

。 降低 整个 公司 的 安全 成 本 

在 没有 保密 协议 (nondisclosure agreement，NDA) 等 法 律 文书 的 情况 下 允许 
别人 对 你 的 应 用 程序 、 网 站 或 公司 进行 渗透 测试 是 一 个 不 好 的 做 法 。 不 要 假 
设 你 可 以 相信 任何 人 ， 特 别 是 那些 测试 安全 性 的 人 。 请 确保 所 有 东西 都 有 文 
字 记 录 ， 这 样 从 一 开始 就 没有 误解 的 机 会 。 






























































9.6.1 考虑 渗透 测试 公司 

当然 ， 与 其 他 事情 一 样 ， 涂 透 测 试 会 带 来 一 些 风 险 。 例 如 ， 你 可 能 期 望 第 三 方 测试 人 员 可 
以 完全 诚实 地 向 你 报告 在 应 用 程序 中 发 现 的 缺陷 ， 但 通常 并 不 是 这 样 。 在 某 些 情况 下 ， 第 
三 方 并 不 会 提供 完整 的 缺陷 文档 ， 但 在 其 他 情况 下 ， 涂 透 测 试 人 员 实际 上 可 能 会 估量 你 的 
公司 以 确定 发 起 一 次 真 的 入 侵 是 否 是 一 个 好 主意 。 重 要 的 是 要 确保 你 用 的 是 一 家 声誉 良好 
的 安全 测试 商 并 验证 其 展示 的 服务 类 型 。 如 果 你 有 以 下 这 些 经 验 ， 应 该 花 更 多 的 时 间 检 查 
你 的 安全 服务 。 

。 在 渗透 测试 阶段 发 生 的 敏感 数据 泄露 、 滥 用 或 丢失 

。 遗漏 的 缺陷 或 弱点 

。 目标 应 用 程序 或 网 站 的 可 用 性 受到 的 影响 

。 测试 没有 及 时 进行 

。 报告 过 于 技术 性 并 难以 理解 

。 项 目 管 理 看 起 来 杂乱 无 章 、 匆 忙 ， 或 考虑 不 周 

当 谈 到 渗透 测试 时 ， 你 付出 多 少 就 会 得 到 多 少 。 在 聘请 第 三 方 进行 渗透 测试 时 ， 公 司 必须 
权衡 成 本 、 时 效 性 和 测试 质量 。 你 付出 的 越 少 ， 等 待 得 就 越 入 ， 获 得 的 也 会 越 少 ， 测 试 后 
发 生 负 面 情况 的 可 能 性 也 会 越 大 。 

在 某 些 情况 下 ,减少 济 试 工作 量 要 比 其 他 取舍 的 效果 更 好 。 只 测试 一 个 应 用 程序 而 不 是 整 
个 网 站 ， 开 销 就 会 小 ， 而 你 可 以 聘请 更 高 质量 的 安全 机 构 来 执行 这 一 任务 。 当 然 ， 如 果 你 
只 测试 一 个 应 用 程序 ， 就 不 能 检查 目标 与 其 他 系统 之 间 的 信任 关系 等 问题 。 



















































































9.6.2 ”管理 项 目 


在 允许 任何 人 执行 渗透 测试 之 前 ， 你 需要 一 份 提案 来 划 出 范围 、 目 标 和 测试 方法 。 任 何 渗 
透 测 试 都 必须 包含 社会 工程 学 攻击 ， 因 为 大 部 分 黑客 都 会 利用 它们 。 事 实 上 ， 公 司 人 员 是 
安全 性 中 最 薄弱 的 环节 。 一 个 应 用 程序 可 以 提供 近乎 完美 的 安全 性 ， 但 由 犯错 的 人 员 导 致 
的 一 个 泄露 会 破坏 你 在 维持 安全 环境 方面 的 所 有 努力 。 


请 确保 测试 方法 有 很 好 的 文档 记录 并 遵循 业界 的 最 佳 实 践 。 例 如 ， 许 多 安全 机 构 遵 循 开源 
安全 测试 方法 (Open Source Security Testing Methodology，OSSTMM) ， 可 以 到 安全 与 开 
放 方 法 研究 所 (Institute for Security and Open Methodologies，ISECOM) 网 站 (http://www. 
isecom.org/) 查看 更 多 细节 。 如 果 测 试 人 员 使 用 了 其 他 方法 ， 请 确保 你 准确 理解 了 这 种 方 
法 以 及 它 会 提供 什么 好 处 。 

该 提案 应 该 陈述 你 要 获得 什么 类 型 的 反馈 作为 测试 的 一 部 分 。 例 如 ， 很 重要 的 是 一 点 是 ， 要 
决定 涂 透 测试 需要 精确 说 明 系 统 是 如 何 被 诊 透 的 ， 还 是 只 需要 报告 某 个 区 域 易 于 受到 攻击 。 


定义 攻击 时 间 也 很 重要 。 你 可 能 不 想 在 一 天 中 最 忙碌 的 时 间 段 进行 测试 ， 以 避免 对 销售 造 
成 风险 。 但 另 一 方面 ， 如 果 你 真 的 想 要 看 看 负载 对 系统 的 影响 ， 可 能 就 需要 在 不 太 适 合 的 
时 间 段 进行 测试 。 


9.6.3 ”覆盖 要 点 


你 感 兴趣 的 任何 渗透 测试 公司 都 应 该 有 一 个 单一 联系 点 。 你 能 够 在 任何 时 候 联 系 上 他 们 是 
很 重要 的 。 如 果 有 和 需要， 开发 团队 与 渗透 团队 的 负责 人 应 该 能 够 在 任何 时 候 联 系 到 对 方 以 
停止 测试 。 这 种 联系 还 应 该 包含 完整 的 细节 ， 描 述 测 试 如 何 进 行 ， 以 及 在 当前 的 测试 阶段 
可 能 发 生 的 任何 入 在 问题 的 细节 。 

你 还 应 该 知道 测试 者 是 否 有 和 覆盖 测试 阶段 发 生 损坏 的 责任 保险 。 责 任 保 险 应 该 包含 对 修复 
数据 花费 的 时 间 、 系 统 停机 时 间 以 及 公司 可 能 遭受 的 任何 潜在 损失 的 赔偿 。 

测试 团队 还 必须 证 明 其 能 胜任 工作 。 你 不 希望 随便 什么 人 都 去 渗透 测试 你 的 系统 。 出 现在 
提案 中 的 团队 也 应 该 是 实际 进行 测试 的 团队 。 检 查 他 们 是 否 有 以 下 这 些 证 书 。 

。 GIAC 事故 处 理 认 证 (GIAC Certified Incident Handler，GCIH) 

。 道德 黑客 资格 认证 (Certified Ethical Hacker，CEH) 

。 OSSTMM 专业 安全 测试 人 员 (OSSTMM Professional Security Tester, OPST) 


9.6.4 ”获取 报告 


任何 渗透 测试 的 结果 都 要 体现 为 一 份 报告 。 为 了 确保 你 获得 一 份 真正 可 用 的 报告 ， 你 一 定 
要 在 测试 开始 前 要 求 一 份 样 例 报告 。 该 报告 应 该 包含 测试 概要 、 任 何 漏 洞 的 细节 、 风 险 评 
估 以 及 渗透 测试 所 涉及 的 所 有 行动 的 细 市 。 报 告 必须 包含 足够 的 技术 信息 ， 使 你 确实 可 以 
修复 在 测试 中 发 现 的 问题 ， 但 仍然 要 能 被 管理 人 员 看 懂 ， 这 样 你 才能 获取 所 需 的 时 间 和 资 
源 来 执行 修复 。 
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除了 报告 ， 你 还 应 该 接收 在 测试 阶段 执行 的 每 个 动作 的 日 志文 件 。 日 志文 件 应 该 展示 在 测 
试 过 程 中 每 个 包 的 发 送 和 接收 ， 这 样 你 可 以 在 后 面 一 步 一 步 地 重 现 测 试 过 程 。 
你 雇用 的 安全 公司 也 应 该 归档 测试 过 程 。 你 需要 知道 他 们 计划 如 何 保存 这 份 档案 。 检 查 归 
档 过 程 的 一 个 原因 就 是 你 要 确保 你 的 私密 数据 是 安全 的 。 离 线 存 储 而 不 是 在 供应 商 的 网 络 
硬盘 中 进行 归档 是 很 重要 的 。 
































第 10 章 





创建 API 安 全 区 域 


你 在 应 用 程序 中 创建 或 使 用 的 任何 API 都 有 可 能 带 来 大 量 问题 。 但 是 ， 与 库 不 同 ， 你 确实 
可 以 让 API 的 使 用 变 得 更 加 安全 ， 因 为 API 在 自己 的 地 址 空间 和 自己 的 进程 内 执行 。 将 














API 放 在 沙 盒 或 虚拟 环境 (特别 是 受 保护 的 环境 ) 中 可 以 实现 以 下 控制 。 





。 精确 地 控制 API 执行 的 动作 、 访 问 的 资源 和 它 与 应 用 程序 交互 的 方式 。 当 然 ， 你 也 可 
能 令 API 得 不 到 所 需 资 源 , 或 者 使 沙 盒 或 虚拟 环境 兼容 过 多 东西 而 令 API 不 能 完成 任务 。 





你 必须 在 风险 (安全 ) 和 有 效 工 作 之 间 维 持平 衡 。 








。 控制 应 用 程序 如 何 与 API 交互 。 例 如， 你 可 以 减 小 错误 或 恶意 的 输入 导致 严重 灾难 的 
可 能 性 。 严 格 控制 应 用 程序 的 输入 , 非法 输入 造成 的 影响 就 会 减少 , 甚至 完全 没有 影响 。 


当然 ， 这 种 保护 也 让 使 用 API 或 执行 某 些 测试 变 得 困难 。 


本 章 会 帮 你 理解 API 沙 盒 / 虚拟 环境 的 概念 ， 并 明确 你 在 下 一 个 编程 项 目 中 该 如 何 使 用 它 
们 来 保证 安全 。 作 为 使 用 API 沙 盒 的 一 部 分 ， 本 章 还 会 探讨 一 些 沙 盒 和 虚拟 环境 的 解决 方 
案 。 不 是 每 种 解决 方案 在 所 有 条 件 下 都 能 起 效 ， 所 以 多 知道 一 些 潜在 的 解决 方案 是 很 好 的 。 



































或 一 个 方法 有 关 。 一 个 安全 系统 要 依赖 许多 安全 层 来 完成 工作 。 


与 任何 其 他 安全 解决 方案 一 样 ， 使 用 API 沙 盒 不 会 是 一 个 捷径 。 它 不 会 让 每 
个 黑客 都 无 计 可 施 ， 并 且 也 不 能 完全 阻止 API 对 应 用 程序 或 相关 数据 的 破 
坏 。 使 用 API 沙 盒 会 降低 风险 。 你 需要 确定 API 沙 盒 是 否 能 降低 足够 多 的 风 
险 ， 或 者 你 是 否 需要 额外 的 方法 来 保证 应 用 程序 安全 。 安 全 不 只 与 一 门 技术 


本 章 的 最 后 一 节 会 讨论 沙 盒 的 一 个 替代 方案 一 一 虚拟 化 。 尽 管 虚 拟 环 境 看 起 来 与 沙 盒 是 本 





质 上 相同 的 东西 ， 因 为 它们 达到 的 目标 是 大 致 相同 的 ， 但 它们 确实 是 不 一 样 的 技术 ， 








因此 


最 后 一 市 会 帮 你 详细 了 解 二 者 的 不 同 点 。 虚 拟 环境 让 API 在 一 个 完全 开放 的 环境 中 执行 。 














但 是 ， 虚 拟 环境 与 其 他 任何 东西 是 完全 隔离 的 ， 并 且 API 会 有 严格 的 访问 策略 。 
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本 章 的 要 点 是 帮 你 创建 一 个 环境 ， 在 这 个 环境 中 API 可 以 在 不 与 应 用 程序 的 其 他 部 分 相关 
联 的 情况 下 执行 。 这 个 环境 是 受到 严格 控制 的 。 本 章 展示 了 达到 这 个 目标 的 两 种 方法 ， 并 
帮 你 了 解 在 什么 时 候 应 选择 哪 一 种 方法 。 如 果 你 想 要 从 应 用 测试 以 及 最 终 的 使 用 中 获得 有 
用 的 结果 ， 选 择 正 确 的 安全 区 域 是 很 关键 的 。 


本 书 使 用 术语 安全 区 域 来 指 代 沙 盒 和 虚拟 环境 所 要 达到 的 目标 。 关 键 是 要 记 
住 这 两 个 技术 的 目标 是 基本 一 致 的 ， 但 这 两 个 技术 达成 目标 的 方式 是 非常 不 
同 的。 因为 这 些 不 同 点 ， 你 可 能 会 发 现 选择 其 中 一 个 会 给 你 的 某 些 应 用 开发 
需求 带 来 好 处 。 





























10.1 理解 API 安 全 区 域 的 概念 


API 安全 区 域 会 提供 一 个 安全 且 灵 活 的 方法 来 测试 或 使 用 你 创建 的 API。 在 测试 阶段 使 用 
一 个 API 安全 区 域 以 确保 可 以 快速 地 从 错误 中 恢复 ， 通 常 是 一 个 好 的 做 法 。 因 为 其 所 提供 
的 安全 特性 ， 你 可 能 会 在 把 API 放 到 生产 环境 中 之 后 决定 继续 使 用 API 安全 区 域 。 


使 用 沙 盒 确实 能 提供 额外 的 安全 性 。 但 是 ， 许 多 公司 在 实现 沙 盒 环境 时 并 不 关心 安全 性 。 
除了 安全 性 ， 沙 盒 还 可 以 提供 以 下 好 处 。 


。 通过 控制 资源 使 用 而 降低 成 本 

。 受 控制 的 第 三 方 API 访问 

。 用 更 好 的 控制 来 使 测试 和 开发 环境 获得 提升 

。 缩短 推 向 市 场 的 时 间 

。 为 测试 模拟 错误 场景 

。 受 监控 的 API 性 能 

公司 也 会 使 用 虚拟 环境 来 达到 其 他 目的 ， 而 不 只 是 使 API 变 安全 。 与 沙 盒 一 样 ， 一 个 虚拟 
环境 会 通过 控制 资源 的 使 用 来 降低 成 本 ， 控 制 对 第 三 方 API 的 访问 ， 以 及 改善 测试 和 开发 
的 环境 。 从 公司 的 角度 来 说， 虚拟 环境 有 以 下 优点 。 


。 缩短 API 崩溃 之 后 的 恢复 时 间 

。 增强 速度 和 网 络 带 宽 控制 

。 改进 能 源 的 使 用 

。 减少 硬件 的 占用 空间 

。 更 快 的 物资 供应 

。 减少 供应 商 锁定 的 情况 

。 增加 正常 运行 时 间 (即使 在 安全 性 和 可 靠 性 事件 很 少时 ) 

。 延长 应 用 程序 的 生命 

如 果 使 用 沙 盒 和 使 用 虚拟 环境 时 API 都 能 很 好 地 工作 ， 那 么 究 竞 是 选择 使 用 沙 盒 还 是 使 用 
虚拟 环境 ， 最 终 可 能 会 归结 为 它们 所 能 提供 的 额外 功能 。 但 是 ， 如 果 你 想 维持 如 今 应 用 各 
序 要 求 的 安全 性 ， 很 重要 的 是 要 首先 考虑 这 两 者 在 安全 方面 的 表现 。 
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10.2 ”定义 API 安 全 区 域 的 需求 


安全 就 是 风险 管理 。 请 求 任何 API 都 会 带 来 风险 ， 因 为 你 不 知道 这 个 API 有 没有 被 损坏 ， 
而 是 首先 假设 这 个 API 是 没有 誉 在 问题 的 。 当 你 在 网 上 读 到 关于 API 带 来 的 伤害 的 信息 
时 ， 你 对 所 使 用 的 API 进行 管控 的 需求 就 会 变 得 明显 。 你 使 用 的 任何 API 都 可 能 发 送 经 过 
伪装 的 数据 ， 它 们 实际 上 可 能 是 病毒 、 脚 本 或 其 他 恶意 软件 。 由 于 API 的 使 用 方式 ， 你 只 
能 在 每 个 人 都 开始 抱怨 应 用 程序 无 法 工作 或 你 在 不 希望 的 地 方 发 现 机 密 数 据 〈 假 设 其 他 人 
没有 首先 发 现 ) 时 ， 才 会 发 现 出 了 问题 。 
当 你 拥有 一 个 API 的 代码 时 ， 相 反 的 问题 会 产生 。 你 的 API 可 能 提供 有 价值 的 服务 给 

户 。 它 可 能 可 以 访问 所 有 的 机 密 数据 ， 其 中 一 些 是 客户 应 该 要 访问 的 ， 还 有 一 些 则 应 该 隐 
藏 起 来 。 错 误 的 输入 可 能 造成 你 的 API 以 意料 之 外 的 方式 作出 反应 ， 通 常会 导致 对 API、 
数据 以 及 服务 的 破坏 。 因 此 ， 你 需要 找到 净化 输入 数据 的 方法 ， 但 也 要 在 这 个 净化 过 程 不 
能 按 预 期 奏效 时 提供 保护 。 

无 论 你 的 API 在 一 个 请 求 中 是 发 送 还 是 接收 数据 ， 在 阔 盒 或 虚拟 环境 中 使 用 该 API 都 是 有 意 
义 的 ， 因 为 这 样 做 会 降低 风险 。 完 全 隔绝 坏 的 东西 是 做 不 到 的 ， 但 你 可 以 将 风险 以 及 你 所 遇 
到 的 漏洞 带 来 的 影响 降 到 最 低 。 接 下 来 会 构建 一 个 在 沙 盒 或 虚拟 环境 中 使 用 API 的 例子 。 


10.2.1 确保 API 可 以 工作 


安全 有 关 风 险 管理 。 确 保 你 的 API 按 预期 工作 可 以 降低 风险 ， 因 为 这 会 减少 别人 以 你 未 考 
虑 到 的 方式 运行 API 的 可 能 性 。 黑 客 常常 干 着 寻找 方法 使 代码 异常 工作 这 样 的 及 脏 事情 ， 
让 代码 执行 其 作者 不 想 其 做 的 事情 。 使 用 API 安全 区 域 可 以 让 你 用 平时 无 法 使 用 的 测试 方 
法 去 测试 代码 ， 而 无 需 在 测试 服务 器 上 制造 问题 。 你 可 以 执行 以 下 测试 来 确保 API 按 预期 
工作 。 


。 验证 正确 的 输入 会 产生 正确 的 响应 

。 运用 范围 检查 来 确保 API 能 正确 地 响应 边界 外 的 数据 

。 输入 错误 类 型 的 数据 来 确保 API 能 根据 类 型 净化 数据 

。 专门 输入 黑客 可 能 使 用 的 非法 数据 ， 比 如 脚本 、 标 签 或 二 进 制 数据 
。 删 减 必 需 的 数据 

。 加 入 额外 的 数据 

。 制造 null 值 的 输入 

。 使 API 超 负荷 

。 使 API 得 不 到 资源 


10.2.2 ”实现 快速 开发 


把 API 直接 放 在 服务 器 上 意味 着 你 提供 了 API 的 一 份 副本 给 每 个 人 使 用 。 当 然 ， 一 旦 任 
何 一 个 开发 人 员 决定 尝 试 某 些 激 进 的 做 法 而 导致 API 或 服务 器 崩溃 ， 其 他 所 有 人 也 不 得 不 
停止 工作 。 你 应 该 让 开发 人 员 在 做 试验 时 没有 负担， 因为 黑客 在 做 这 些 事 时 肯定 不 会 有 人 负 
担 。 创 建 一 个 所 有 人 都 必须 遵守 规则 的 受 约束 环境 ， 几 乎 肯定 会 把 那些 黑客 用 来 破坏 服务 
器 的 安全 漏洞 隐藏 起 来 。 
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沙 盒 通过 使 服务 器 变 得 不 太 可 能 崩溃 来 帮助 实现 快速 开发 。 如 果 API 遇 到 了 问题 ， 你 通常 
可 以 非常 快速 地 恢复 它 。 沙 盒 环 境 还 能 很 容易 地 模拟 现实 世界 中 的 各 种 情况 ， 比 如 缺少 资 
源 或 完全 没有 资源 的 情况 。 但 是 ， 你 仍然 要 有 一 个 API 的 副本 在 运行 ， 所 以 还 不 能 像 在 开 
发 环境 中 那样 轻松 。 


使 用 虚拟 环境 可 让 每 个 开发 人 员 (或 者 每 组 开发 人 员 ) 拥有 一 份 API 的 副本 。 当 然 ， 你 要 使 
用 更 多 的 服务 器 资产 去 实现 这 一 场景 ， 但 关键 是 你 最 终 会 有 一 个 不 会 干扰 其 他 开发 人 员 的 编 
码 工 作 的 环境 。 每 个 人 都 与 其 他 人 隔离 。 如 果 一 名 开发 人 员 想 到 一 个 攻击 API 的 好 点 子 并 且 
攻击 成 功 了 (使 得 API 或 虚拟 环境 月 涡 )， 这 些 工作 不 会 影响 到 其 他 人 。 这 里 的 要 点 是 要 提 
供 一 个 环境 ， 让 开发 人 员 在 寻找 最 好 的 应 用 解决 方案 时 可 以 没有 负担 地 去 做 任何 事情 。 

这 个 例子 中 要 考虑 的 权衡 点 是 ， 资 源 与 灵活 性 要 选择 哪 一 个 。 沙 盒 方法 会 对 资源 比较 友 
好 ， 这 对 于 那些 没有 太 多 硬件 资源 的 小 公司 可 能 是 一 个 较 好 的 选择 。 虚 拟 环境 对 于 正在 使 
用 需要 很 多 开发 人 员 关 注 的 较 大 型 API 的 公司 是 一 个 比较 好 的 选择 。 使 开发 人 员 不 会 影响 
其 他 人 是 这 个 例子 中 首要 考虑 的 因素 ， 且 额外 硬件 的 使 用 可 能 不 是 一 个 太 大 的 问题 。 


当 要 获取 硬件 来 进行 开发 或 测试 时 要 有 些 突破 性 的 思维 。 那 些 不 再 能 正常 提 
供 功能 的 系统 可 能 仍然 有 足够 长 的 寿命 可 用 于 开发 目的 ， 特 别 是 如 果 你 的 目 
标 是 在 一 个 受 约束 的 环境 中 进行 测试 。 总 之 ， 在 搭建 一 个 测试 环境 时 不 要 总 
想 着 用 新 的 硬件 ， 有 时 候 在 进行 设备 升级 之 后 ， 旧 的 硬件 也 能 工作 得 很 好 ， 
并 且 你 手边 可 能 就 有 很 多 这 样 的 资源 。 





































































































10.2.3 ”证明 最 佳 的 集成 

许多 集成 测试 存在 的 一 个 问题 是 测试 在 找 正 向 的 结果 而 不 是 负面 的 结果 。 开 发 人 员 和 希望 验 
证 以 下 事项 。 

。 API 按说 明 书 所 说 的 那样 工作 

。 API 的 功能 匹配 该 API 必须 完成 的 任何 业务 逻辑 

可 用 来 进行 集成 测试 的 方法 有 很 多 ， 它 们 还 会 帮 你 找到 潜在 的 安全 问题 。 下 面 描述 了 最 常 
见 的 技术 : 沙 盒 、 创 建 虚 拟 环境 、 使 用 mocking 以 及 依靠 API 虚拟 化 。 

1. 沙 盒 集 成 测试 

使 用 沙 盒 环 境 可 以 执行 逼真 的 测试 。 在 某 些 情况 下 ， 当 沙 盒 环 境 在 某 些 方面 不 能 匹配 现实 
环境 时 ， 你 会 得 到 假 阳 性 的 测试 结果 。 此 外 ， 使 用 沙 盒 环境 通常 不 能 体现 出 API 真正 的 速 
度 指标 ， 因 为 在 API 和 应 用 程序 之 间 有 另 一 层 软 件 。 当 多 名 开发 人 员 在 不 符合 生产 环境 的 
环境 中 发 起 请 求 时 ， 速 度 问 题 会 被 放大 。 

如 果 你 发 现 你 进行 的 测试 得 出 了 不 可 信 或 不 一 致 的 结果 ， 那 么 就 需要 创建 一 
个 更 好 的 测试 环境 。 当 输入 特定 的 值 无 法 获得 特定 的 输出 时 ， 测 试 过 程 可 能 
会 得 出 假 阳 性 测试 结果 ， 让 你 花费 很 多 天 去 解决 这 个 问题 。 假 阳性 在 处 理 安 
全 问题 时 是 特别 令 人 头痛 的 。 你 可 能 在 某 一 时 刻 有 可 以 产生 问题 的 条 件 ， 而 
下 一 刻 又 没有 了 。 
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2. 虚拟 化 集成 测试 

另 一 种 替代 方案 ， 虚 拟 环境 ， 同 样 提 供 了 逼真 的 测试 。 由 于 虚拟 环境 的 工作 方式 ， 它 可 以 
更 大 程度 地 模拟 生产 环境 ， 所 以 你 不 会 得 到 太 多 的 假 阳 性 结果 。 实 际 测试 的 速度 通常 不 是 
一 个 问题 ， 因 为 每 个 开发 人 员 都 有 自己 的 私有 环境 。 但 是 ， 除 非 你 有 正确 的 配置 ， 否 则 就 
不 能 可 靠 地 进行 应 用 程序 的 速度 测试 或 负载 测试 ， 因 为 虚拟 环境 会 有 偏差 的 结果 。 当 使 用 
虚拟 环境 时 ， 在 集成 测试 发 生 一 次 失败 之 后 的 恢复 速度 肯定 比较 快 。 


3. 使 用 mocking 进 行 集成 测试 

一 些 开发 人 员 使 用 mocking 对 API 进行 集成 测试 。 一 个 模拟 的 API 以 脚本 的 方式 接收 输入 
并 提供 输出 。 换 言 之 ， 这 个 API 不 是 真 的 。 模 拟 API 的 目的 是 在 分 离 API 的 情况 下 测试 应 
用 程序 部 分 。 使 用 模拟 的 API 可 以 在 开发 团队 开发 API 之 前 就 开始 构建 和 测试 应 用 程序 。 


mocking 的 好 处 是 任何 测试 都 能 非常 快 地 运行 起 来 。 此 外 ， 应 用 程序 接收 到 的 响应 是 精确 且 
会 变 的 ， 不 像 一 个 真正 的 API[， 其 响应 可 能 会 变化 。(mock 不 会 执行 任何 真实 的 执行 过 程 ， 
所 以 不 会 有 变化 的 响应 ,) 但 是 ，mock 里 面 的 错误 会 在 测试 应 用 程序 时 制造 假 阳 性 的 结果 。 


在 网 上 就 有 模拟 API 的 例子 。 例 如 ， 你 想 要 测试 基于 REST 的 应 用 程序 ， 就 可 以 使 用 
Mocky (http://www.mocky.io/) 来 执行 这 个 任务 。 你 可 以 使 用 Mocky 为 应 用 程序 创建 一 个 
可 预期 的 响应 ， 如 图 10-1 所 示 。Mocky 还 可 以 创建 各 种 响应 类 型 。 你 不 仅 控制 了 HITP 
响应 ， 还 控制 了 内 容 的 响应 类 型 和 值 。 






























































Mocky: Real HTTP i Firefoy 
Eh 


££ Mocky: Real HTTP moc x 和 





h A Sl,@wwmockyio Cj 加 最 因 人 了 此 玫 国 -看 | 三 


Mock your HTTP responses to test your REST API 


> PUT http://www.mocky.io/v2/5185415bal71ea3a86764eet d 





Now with JSONP support just add ?callback=myfunction to your links, 


Generate your custom response 





Status Code ”| 200 OK 





Content Type “| application/json «| | UTF-8 


Body 








Switch to advanced mode 


二 Givefeedback - 
| 上 


























图 10-1: Mocky 提供 了 一 个 供 你 填写 的 简单 表单 来 配置 测试 
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许多 mock 提供 了 SOAP 和 REST 支持 。 例 如 ，mockable.io/ (https:Wwww.mockable.io/) 同 
时 支持 SOAP 和 REST， 如 图 10-2 所 示 。 要 使 用 这 个 服务 ， 你 必须 注册 一 个 账户 。 一 个 试 
用 账户 就 能 让 你 执行 测试 ， 但 你 创建 的 任何 数据 都 不 是 私有 的 。 为 了 创建 一 个 私有 配置 ， 
你 必须 获得 一 个 付费 账户 。 





© Mockable: Quickly crea... x 











@) mockable.io - Admin console 


























| 人 mis temporary account 


Start with Mockable 


DEFINE A NEW REST MOCK 


DEFINE A NEW SOAP MOCK 


2015 Mockable - Privacy - Terms - Feedback & Support | 














图 10-2: 当 你 需要 SAP 支持 时 可 以 使 用 mockable.io 等 mock 


在 这 个 例子 中 ， 一旦 你 选择 了 想 要 创建 的 mock 类 型 ， 就 填写 表单 去 执行 真正 的 测试 过 程 。 
如 图 10-3 所 示 ， 你 可 以 更 改 的 mock 的 配置 是 很 广泛 的 。 在 这 种 情况 下 ， 你 还 可 以 选择 诸 
如 用 于 创建 调用 的 verb 等 项 目 。 关 键 是 mock 提供 了 一 个 环境 ， 使 你 可 以 用 某 种 特定 方式 
提供 特定 的 输入 并 得 到 特定 的 结果 。 

更 高 级 的 mock， 比 如 Apiary (https:Wapiary.io/) ， 会 提供 许多 服务 来 使 mocking 的 过 程 更 
加 简单 。 你 可 以 使 用 这 个 服务 来 创建 文档 、 集 成 代码 样 例 、 执 行 调试 任务 以 及 自动 测试 。 
当然 ， 随 着 mock 的 复杂 程度 的 增加 ， 价 格 也 会 增加 。 
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© Mockable: Quickly crea... x 





A a9 (€) @ ntpsmmmockableioawspacerdemoro | 时 网 上 并 -全 "下 >» 


























@) mockable.io - Admin console 








































































































































































































Help 






































A This temporary 
i ‘pire after 24 hours Don't lose your data! Create an account Tell 


Home Domain demo7029977 (REST) 
New REST Mock 


















































































































































































































































































































































































































































































































































REST MOCK 



















































































































































































Path 
http://demo7029977.mockable.io/ 


























































































































































































































Verb 
©@ GET © POST © PUT © PATCH ® DELETE 加 OPTIONS 


Select the HTTP verb for this mock. If you select OPTIONS, the CORS standard will be 
disabled for all mocks running on the same path. 






























































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































| Advanced dispatch options | 
Headers 
[+ | 
Response status 
| 200 - OK 品 















































图 10-3: 某 些 mock 对 测试 界面 提供 了 大 量 的 控制 


4. 使 用 API 虚 拟 化 进行 集成 

沙 盒 环境 可 以 做 一 些 你 平时 不 容易 做 到 的 事情 ， 比 如 虚拟 化 真实 的 API。 很 有 可 能 你 的 开 
发 排 期 与 你 所 依赖 的 某 些 第 三 方 服务 的 排 期 不 一 致 。 当 发 生 这 个 问题 时 ， 公 司 常常 只 能 等 
待 所 依赖 的 API。 当 然 ， 你 可 以 重新 开发 自己 的 API， 但 大 部 分 公司 不 会 这 样 做 ， 并 且 这 
真 的 不 是 一 个 好 的 选项 ， 即 使 你 有 相关 资源 。 


永远 不 要 混淆 API 虚拟 化 和 服务 器 虚拟 化 或 虚拟 机 的 使 用 。 在 后 面 两 种 情况 
中 ， 你 会 创建 一 个 完整 的 虚拟 系统 ， 模 拟 一 个 标准 平台 的 每 个 部 分 。API 虚 
拟 化 只 是 模拟 API。 你 不 能 用 它 来 执行 如 直接 运行 一 个 应 用 程序 这 样 的 任务 。 





虚拟 化 是 一 个 创建 API 表现 的 过 程 ， 可 用 于 测试 或 其 他 目的 。 这 个 表现 作为 一 种 黑 盒 ， 可 
用 来 替代 真正 要 依靠 的 真实 API。 这 个 黑 盒 最 终 会 提供 对 真正 API 的 访问 ， 但 也 可 以 提供 
对 作为 灰 代 者 的 mock 的 访问 。 关 键 是 API 虚拟 化 层 提 供 了 与 API 交互 和 集成 到 应 用 程序 
的 一 致 方法 ， 即 使 是 在 API 还 没有 完成 的 情况 下 。 图 10-4 展示 了 API 虚拟 化 层 的 样子 。 
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API 虚 拟 化 层 














10-4: API 虚拟 化 层 使 应 用 程序 与 API 相 分 离 


使 用 API 虚拟 化 可 以 使 你 的 应 用 程序 经 受 住 各 种 失败 。API 虚拟 化 层 可 以 让 应 用 程序 即 
使 在 API 不 能 正常 工作 时 继续 运行 。 例 如 ， 当 错误 发 生 时 ， 你 可 以 创建 一 个 mock 来 替代 
API， 从 而 使 应 用 程序 能 继续 运行 。 用 户 甚至 可 能 不 会 感到 任何 不 同 。 当 API 恢复 正常 工 
作 时 ， 你 可 以 在 后 台 执 行 任何 所 需 的 修复 。 这 里 的 关键 点 是 黑客 不 能 简单 地 通过 增加 API 
的 负载 来 使 应 用 程序 遭遇 失败 。 

在 某 些 情况 下 ， 你 可 以 结合 沙 盒 产品 和 API 虚拟 化 来 创建 一 个 更 好 的 环境 。 例 如 ， 
SmartBear 提供 了 两 款 产 品 : VirtServer 和 Ready API! (https://smartbear.com/product/ready- 
api/overview/) ， 可 以 创建 一 个 两 层 方法 来 使 用 API。( 请 参阅 http://smartbear.com/product/ 
ready-api/servicev/features/share-virtual-services/， 获 取 更 多 细节 。) 其 要 点 是 在 处 理 复 杂 的 
API 交互 时 获取 额外 的 灵活 性 。 


10.2.4 在 负载 情况 下 验证 API 的 表现 

负载 测试 对 于 安全 来 说 很 重要 ， 因 为 黑客 常常 使 API 或 应 用 程序 过 载 来 导致 其 以 某 种 方式 
失败 。 在 API 或 应 用 程序 失败 之 后 ， 黑 客 会 使 用 各 种 途径 来 利用 失效 的 软件 作为 入 侵 网 络 
的 入 口 。 因 此 ， 知 道 当 负载 加 重 时 你 的 API 会 如 何 退 化 是 很 重要 的 ， 因 为 你 想 要 优雅 地 失 
败 ， 并 且 是 以 一 种 不 会 给 黑客 打开 很 大 入 侵 漏 洞 的 方式 。 重 要 的 是 要 记 住 ， 如 果 你 给 了 足 
够 大 的 负载 ， 每 个 API 都 会 在 某 个 点 发 生 失 败 。 尽 管 你 可 能 在 过 去 看 得 了 一 些 承 诺 ， 但 没 
有 任何 方法 可 以 让 软件 伸缩 到 某 个 点 从 而 使 其 可 以 承受 无 限 的 负载 (假设 有 可 能 可 以 进行 
这 样 的 测试 ) 。 

为 了 执行 负载 测试 ， 你 必须 能 够 模拟 负载 ， 这 通常 意味 着 要 给 发 起 调用 请 求 的 系统 增加 
软件 ， 减 少 所 需 的 资源 并 进行 任何 所 需 的 日 志 记 录 。 大 部 分 开发 人 员 会 提供 一 个 沙 盒 环 
绕 来 进行 负载 测试 ， 因 为 沙 盒 环境 提供 了 最 真实 的 测试 环境 。 寻 找 一 些 能 用 在 你 需要 支 
持 的 所 有 平台 上 的 工具 。 某 些 产品 ， 比 如 LoadUI (http:Wwww.loadui.org/) ， 提 供 了 用 于 
Windows、Mac 和 Linux 测试 的 版 本 。 在 获得 任何 工具 之 前 ， 先 尝试 下 载 试用 版 本 来 看 看 
其 是 否 能 如 宣传 的 那样 工作 。 

任何 API 负载 测试 的 起 点 都 是 确定 如 何 测 试 。 你 需要 获取 统计 数据 来 了 解 如 何 加 载 API 以 
模拟 一 个 真实 的 环境 。 为 了 确保 API 如 宣传 的 那样 工作 ， 你 需要 确定 以 下 各 项 。 
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。 API 每 秒 接收 的 平均 请 求 数 
。 API 每 秒 接收 到 的 请 求 峰值 
。 端点 (发 起 调用 API 的 地 点 ) 的 吞吐 量 分 布 
。 用 户 或 工作 组 的 吞吐 量 分 布 


确定 如 何 创建 测试 API 的 连接 也 是 很 重要 的 。 你 可 能 会 很 随便 地 就 开始 测试 。 但 是 ， 很 重 
要 的 是 要 采用 各 种 类 型 的 连接 来 测试 API， 以 确保 其 能 在 所 有 的 环境 下 表现 良好 。 


。 制造 重复 性 负载 (测试 软件 顺序 使 用 相同 的 请 求 ) 
。 模拟 的 流量 模式 (一 个 随机 版 本 的 重复 性 负载 或 一 段 API 访问 日 志 数 据 的 重播 ) 
。 真实 的 流量 (你 有 一 个 测试 组 用 真实 的 请 求 访问 API) 


在 建立 起 能 在 标准 条 件 下 运行 的 API 之 后 ， 你 需要 改变 这 些 条 件 来 模拟 黑客 的 攻击 。 例 
如 ， 黑 客 会 用 特定 的 请 求 大 量 攻 击 API， 和 希望 使 其 以 某 种 方式 失败 。 黑 客 还 会 在 一 次 
DDoS 攻击 中 持续 增加 越 来 越 多 的 僵尸 请 求 ， 从 而 能 很 简单 地 让 API 到 达 被 破坏 的 边缘 。 
这 真是 有 创意 。 很 重要 的 是 要 确定 什么 会 破坏 API 并 导致 其 失败 ， 然 后 看 看 API 会 如 何 失 
败 。 知 道 API 会 如 何 失 败 将 有 助 于 你 确定 风险 级 别 ， 这 些 风险 每 个 黑客 都 会 感 兴趣 ， 这 样 
你 就 能 更 好 地 为 后 果 做 准备 。 




















10.2.5 “使 API 远 离 黑客 


在 执行 了 本 章 描述 的 所 有 其 他 测试 之 后 ， 你 可 能 会 认为 你 的 API 是 安全 的 。 问 题 是 你 并 设 
有 芳 虑 到 所 有 黑客 会 采用 的 攻击 方式 。 如 果 某 人 真 的 决定 要 破坏 你 的 API， 他 们 就 会 找到 
破坏 的 方法 。 第 9 章 讨论 了 需要 像 墨 客 一 样 思 芳 。 当 然 ， 那 是 一 个 好 的 开始 ， 但 一 旦 你 想 
到 某 人 能 用 来 破坏 你 的 API 的 一 些 方法 ， 就 需要 测试 它们 。 你 能 安全 地 进行 测试 的 唯一 方 
式 是 创建 一 个 API 安全 区 域 。 

在 这 种 情况 下 ， 使 用 沙 盒 和 虚拟 环境 测试 会 帮 你 得 到 最 好 的 结果 。 任 一 种 环境 都 能 为 测试 
者 提供 特定 的 好 处 ， 来 帮忙 确保 API 在 生产 环境 中 能 表现 良好 。 


在 生产 环境 中 测试 你 的 应 用 程序 及 其 相关 的 API 永远 不 是 一 个 好 主意 ， 除 非 
有 绝对 的 必要 。 许 多 开发 人 员 都 尝试 过 这 样 做 ， 并 发 现 测 试 过 程 确实 会 损害 
应 用 程序 应 该 保护 的 数据 。 此 外 ， 你 通常 不 能 安排 出 方便 用 户 的 测试 计划 。 
因为 用 户 在 测试 环境 中 增加 了 变数 ， 所 以 你 需要 在 用 户 不 大 量 执行 任务 时 进 
行 测试 。 否 则 你 无 法 确定 一 次 失败 是 测试 还 是 用 户 输入 造成 的 结果 。 

























































































10.3 ”用 API 沙 盒 进 行 开发 


虚拟 化 一 个 API 沙 盒 是 很 容易 的 。 这 就 与 给 孩子 做 一 个 沙 盒 一 样 。API 可 以 访问 沙 盒 中 的 
任何 东西 ， 而 不 能 访问 外 部 的 任何 东西 。 将 API 保持 在 一 个 沙 盒 里 有 很 重要 的 安全 意义 ， 
因为 它 使 得 API 即使 在 遭 到 黑客 攻击 时 ， 也 不 太 可 能 对 应 用 程序 或 其 数据 造成 损害 。 通 过 
保持 API 的 隔离 ， 它 只 能 损害 到 已 经 分 配给 它 的 资源 。 这 意味 着 API 绝对 不 可 能 以 不 受 控 
制 的 方式 造成 损害 ， 除 非 设 计 者 没有 正确 或 有 效 地 设计 沙 盒 。 
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没有 什么 是 免费 的 。 把 API 放 在 沙 盒 中 也 很 可 能 会 让 API 不 能 按 预 期 工作 ， 或 在 资源 紧张 
的 环境 中 工作 得 很 慢 。 关 键 是 要 创建 使 API 的 功能 保持 可 靠 的 API 沙 盒 。 创 建 一 个 平稳 
的 API 沙 盒 是 很 难 的 ， 这 需要 对 API 如 何 与 应 用 程序 一 起 工作 来 执行 特定 任务 有 深度 的 理 
解 。( 不 需要 理解 API 的 每 个 细节 ， 因 为 应 用 程序 不 太 可 能 使 用 整个 API。) 


许多 文章 对 沙 盒 小 题 大 做 ， 但 事实 上 ， 它 与 使 用 任何 现代 操作 系统 没有 什么 不 同 。 从 前 ， 
应 用 程序 能 够 完全 访问 整个 机 器 。 现 在 ， 一 个 应 用 程序 控制 了 对 系统 资源 的 访问 ， 包 括 内 
存 和 处 理 时 间 。 应 用 程序 必须 与 在 同一 系统 中 运行 的 其 他 应 用 程序 共享 资源 ， 所 以 操作 系 
统 控制 着 对 资源 的 访问 。 使 用 沙 盒 ， 你 可 以 有 一 个 额外 的 控制 层 ， 但 这 个 控制 在 功能 和 效 
果 上 与 任何 其 他 的 应 用 控制 类 似 。 


一 旦 你 有 开发 一 个 API 沙 盒 的 良好 理由 ， 就 应 该 开发 一 个 沙 合用 于 你 的 应 用 程序 。 事 实 
上 ， 对 于 应 用 程序 中 的 每 个 API， 你 都 需要 一 个 独立 的 沙 盒 。 某 些 应 用 程序 使 用 了 相当 多 
的 沙 盒 ， 而 这 可 让 一 个 API 不 被 另 一 个 API 产生 的 问题 所 污染 。 保 持 每 件 事情 是 隔离 的 且 
不 能 破坏 其 他 的 事情 通常 是 一 个 好 主意 。 在 某 些 情况 下 ， 你 可 能 不 得 不 在 构建 应 用 程序 的 
方式 上 变 得 有 创造 力 ， 使 得 API 可 以 持续 正常 运行 ， 但 使 API 保持 在 完全 隔离 和 受 控 的 环 
卉 中 是 一 个 很 好 的 想法 。 
















































































你 可 能 会 认为 沙 鲍 是 相对 较 新 的 概念 。 但 是 ， 从 20 世纪 70 年 代 起 ， 沙 盒 的 概念 就 已 
经 以 Hydra 操作 系统 的 形式 存在 了 很 长 一 段 时 间 。 上 卡耐基. 梅 隆 针 对 迷你 计算 机 的 多 
处 理 器 操作 系统 有 一 个 沙 盒 功 能 ， 在 其 中 开发 人 员 能 够 以 相对 安全 的 方式 试验 人 工 物 
能 (AI) 应 用 (http://research.microsoft.com/en-us/um/people/gbell/Computer_Structures_ 
Principles_and_Examples/csp0366.htm) 。 每 个 应 用 程序 作为 用 户 应 用 运行 ， 这 意味 着 它 
不 能 访问 较 低 层 的 、 可 以 导致 系统 失败 的 操作 系统 功能 。 


其 他 一 些 开发 人 员 注 意 到 了 Hydra 提供 的 功能 并 在 其 他 环境 中 重新 实现 了 它 。 例 如 ， 
Sun 公司 提出 了 动态 系统 域 (Dynamic System Domains ，http:Wwww.filibeto.org/~aduritz/ 
truetrue/e10000/dynamic-sysdomains.html) 的 概念 来 提供 错误 保护 和 应 用 隔离 (包含 在 
其 他 目标 之 中 )。FreeBSD 实际 上 会 通过 将 应 用 程序 投入 jails (https://www .freebsd.org/ 
doc/handbook/jails.html) 的 方式 来 锁 住 它们 。 因 此 ， 沙 使 的 概念 由 来 已 久 ， 但 是 将 其 
用 于 API 则 是 相对 较 新 的 理念 。 


现在 ， 许 多 应 用 程序 在 沙 盒 中 运行 。 例 如 ，2012 年 ，Apple 开始 要 求 开 发 人 员 在 Mac 应 用 
商店 中 的 应 用 程序 中 包含 沙 盒 特性 (https://developer.apple.com/app-sandboxing/) 。Google 
的 Chrome 浏览 器 (https://tools.google.com/dlpage/res/chrome/en-GB/more/security.html)、 
Microsoft 的 IE (http://securityintelligence.com/internet-explorer-ie-10-enhanced-protected- 
mode-epm-sandbox-research/) 以 及 Apple 的 Safari (http://www.cnet.com/news/safari-matches- 
rivals-with-sandboxed-flash-for-better-security/) 都 有 沙 使。 唯一 没有 沙 鲍 的 浏览 器 是 
Mozilla 的 Firefox (http://www.extremetech.com/computing/178587-firefox-is-still-the- 
least-secure-web-browser-falls-to-four-zero-day-exploits-at-pwn2own) 。 














10.3.1 使 用 现成 的 解决 方案 


























构建 自己 的 沙 盒 会 有 趣 ， 但 更 有 可 能 是 在 浪费 时 间 。 你 应 该 聚焦 于 自己 的 应 用 程序 ， 而 不 
是 再 去 构建 一 个 能 安全 使 用 它 的 环境 。 这 就 是 为 什么 你 需要 一 个 你 能 信任 的 现成 解决 方 
案 。 下 面 列 出 了 许多 可 用 的 沙 盒 解 决 方案 。 











AirGap (https://spikes.com/isolation-is-the-new-prevention.htm!l) 

这 是 一 个 有 趣 的 想法 。 不 是 让 浏览 器 在 客户 端 系 统 中 运行 ， 而 是 让 其 在 云端 的 服务 器 上 
运行 。 用 户 依赖 某 个 查看 器 应 用 程序 ， 该 应 用 程序 提供 了 与 浏览 器 的 隔离 。 你 会 看 到 浏 
览 器 窗口 并 像 平时 一 样 与 其 交互 ， 但 唯一 在 客户 端 系统 中 运行 的 是 浏览 程序 。 供 应 商用 
这 个 方法 承诺 物理 、 连 接 、 会 话 和 恶意 软件 的 隔离 。 你 需要 用 你 的 应 用 程序 来 尝试 一 
下 ， 看 这 种 方法 是 否 能 真正 完成 工作 。 


对 于 大 部 分 用 户 来 说 ， 一 个 像 AirGap 这 样 的 方案 能 够 工作 得 很 好 。 但 是 ， 
你 必须 考虑 浏览 器 在 哪里 运行 。 如 果 你 的 公司 属于 受 监管 行业 或 者 你 的 
应 用 程序 在 处 理 敏感 信息 ， 那 么 AirGap 就 不 适合 你 。 在 这 种 情况 下 ， 浏 
览 器 确实 应 该 在 宿主 系统 上 运行 以 正确 地 工作 并 维持 机 密 性 ， 这 是 法 规 
(或 常识 ) 所 要 求 的 。 


















































Sandboxie (http:/www.sandboxie.com/) 

你 可 以 使 用 Sandboxie 来 在 宿主 系统 上 运行 任何 应 用 程序 ， 而 不 只 是 浏览 器 。 这 意味 着 
尔 能 用 Sandboxie 来 执行 各 种 其 他 解决 方案 可 能 无 法 支持 的 任务 。 因 为 它 在 客户 端 系统 
上 运行 ， 所 以 你 的 敏感 数据 会 得 到 完全 的 保护 。 供 应 商 提 供 了 一 个 你 可 以 测试 的 试用 版 
本 。 当 你 要 购买 一 个 授权 许可 时 ， 可 以 选择 家 用 版 、 小 型 商业 版 或 者 企业 版 。 只 有 企业 
版 有 支持 包 。Sandboxie 只 能 在 Windows 操作 系统 上 工作 。 


Spoon.net (https://turbo.net/browsers#spoon.net) 

有 时 候 你 需要 测试 大 量 不 同 的 浏览 器 ， 但 将 它们 全 都 下 载 并 安装 到 你 的 系统 上 是 很 困难 
的 。 根 据 你 的 需要 配置 所 有 这 些 浏 览 器 也 会 增加 额外 的 工作 。 通 过 Spoon.net 提供 的 环 
境 访问 浏览 器 可 让 你 避免 这 些 痛 苗 。 要 使 用 这 个 产品 ， 你 要 在 浏览 器 上 安装 一 个 插件 ， 
然后 选择 你 想 使 用 的 浏览 器 ， 如 图 10-5 所 示 。 浏 览 器 的 选择 不 受 限 于 你 的 平台 所 支持 
的 浏览 器 。 例 如 ， 尽 管 你 正在 使 用 Windows 系统 ， 也 可 以 加 载 Safari 或 Firefox Mobile 
来 执行 所 需 的 测试 。 






































创建 API 安 全 区 域 | 161 








Ele Edit View Higtoy Bookmarks Took Help 


3 a 9 I) a https://spoon.net/browsers 
eg 


| @ Browser Sandbox -Onli.. x \ 


rc 加 和 国人 点 关 加 -站 > | 三 





Launch VMs History 





| Chrome 43 
| Chrome 42 


© About Hub Enterprise Resources Docs Support 


Browser Sandbox 


Test any browser instantly online. Click to run with no installs. 





人 Firefox 38 Internet E> 
本 Firefox 37 Internet E) 
ES 














3 
四 


<| 























图 10-5: Spoon.net 可 以 使 用 所 有 常见 的 浏览 


10.3.2 ”使 用 其 他 供应 商 的 


x 小 会- 
沙 全 


有 些 情况 下 ， 无 论 你 是 否 想 要 ， 都 得 使 用 沙 盒 。 例 如 ， 当 开发 一 个 使 用 eBay API 的 应 用 
程序 时 ， 你 必须 首先 使 用 沙 盒 (https://go.developer.ebay.com/developer-sandbox) 来 编写 应 
用 代码 并 测试 它 。 只 有 在 eBay 验证 了 应 用 程序 之 后 你 才能 在 生产 环境 中 运行 。 由 于 API 
环境 所 涉及 的 高 风险 ， 你 可 能 会 发 现 你 要 花 更 多 的 时 间 来 使 用 第 三 方 沙 盒 测 试 你 的 代码 。 
访问 大 部 分 这 些 沙 盒 要 依靠 专门 的 密 钥 。 供 应 商 ， 比 如 eBay， 想 要 知道 谁 为 了 什么 目的 正 
在 使 用 他 们 的 沙 盒 。 这 个 密 钥 唯一 地 标识 你 的 身份 ， 而 你 必须 拥有 它 来 调用 沙 盒 。 当 使 用 
eBay 的 时 候 ， 获 取 密 钥 是 很 容易 的 ， 注 册 一 个 账户 ， 然 后 进入 沙 盒 开 始 执行 应 用 测试 ， 如 





图 10-6 所 示 。 
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Sandbox Benefits 


es The Sandbox duplicates much of the functionality that is on the eBay Web site. lt processes API calls in 
exactly the same manner as does the Production environment, and it includes a subset of the eBay 
site's Web pages. The difference is that all the users are test users (created by developers like you) 
and all the money exchanged is test money. 

e Use the Sandbox to experiment with function calls, to prototype new routines, to test your application's 
business logic, and to make sure your application adheres to eBay's Compatible Application Check 
Requirements before you actually apply for the Compatible Application Check- 

e Before you begin working with the eBay APl, and before you attempt to connect to the Sandbox, make 
sure all the tools in your local development environment work properly. 

se Great for testing Buying, Selling and After Sale flows. You will not incur production charges by 
purchasing and selling items in the Sandbox. We recommend the production for testing searching 
capabilities 


Before you can make API calls in the sandbox environment, you must generate a Sandbox 
Keyset Production Keysets will not work in the sandbox. 


Generate a Sandbox Keyset 





Before you can log into the sandbox, you must create a sandbox user. Production eBay users 
cannot log into the sandbox. 


Create a Sandbox User | 


With the above completed, you are ready to make use of the Sandbox 加 . 


Enter the Sandbox 


图 10-6: 大 部 分 供应 商会 要 求 某 些 访问 控制 以 使 用 他 们 的 沙 盒 


当 你 在 应 用 程序 中 需要 使 用 多 个 API 时 会 有 些 问 题 ， 每 个 API 都 要 有 自己 的 沙 盒 环境 。 尝 
试 让 应 用 程序 获得 认证 意味 着 要 让 每 个 供应 商都 签署 认证 。 请 确保 你 计划 在 开始 编码 前 让 
应 用 程序 获得 每 个 供应 商 签署 的 认证 。 在 某 些 情 况 下 ， 为 了 获取 需要 的 验证 ， 你 可 能 不 得 
不 将 应 用 程序 分 解 为 几 个 可 测试 的 部 分 。 


在 单个 应 用 程序 中 使 用 多 个 API 已 经 变 得 很 普遍 ， 而 且 很 复杂 ， 这 让 许多 开发 
人 员 转 为 向 API 集成 求助 。 使 用 API 集成 可 以 通过 创建 API 整合 来 降低 复杂 度 。 
使 用 API 集成 超出 了 本 书 的 范围 ， 但 你 可 以 在 “Api Aggregation: Why It Matters 
and Eight Different Models” (http://www.programmableweb.com/news/api-aggregation- 
why-it-matters-and-eight-different-models/2013/12/13) 和 “Extending REST APIS with 
API Aggregator” (http://tech.3scale.net/2013/04/18/accelerate-your-mobile-api-with- 
nginx-and-lua/) 这 两 篇 文章 中 找到 很 多 有 用 的 相关 信息 。 当 然 ， 还 有 很 多 其 他 资 
源 可 作为 集成 化 的 参考 ， 但 这 两 篇 文章 可 以 作为 一 个 很 好 的 开始 。 
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10.4 考虑 虚拟 环境 


有 时 候 你 的 API 需要 在 一 个 虚拟 环境 中 工作 。 一 个 虚拟 环境 可 以 给 人 真实 环境 的 感觉 ， 但 
` 会 让 API 导致 问题 。 通 过 本 章 ， 你 已 经 看 到 了 沙 盒 和 虚拟 环境 的 比较 。 从 安全 的 角度 来 
说 ， 这 两 者 都 能 对 抗 墨客 的 行为 ， 但 是 ， 是 以 完全 不 同 的 方式 。 然 而 ， 最 重要 的 一 点 是 分 
离 API、 应 用 程序 、 应 用 程序 组 件 或 任何 其 他 你 想 要 与 操作 系统 隔绝 的 软件 项 。 隔 绝 可 以 
让 你 拦截 和 清理 数据 ， 以 及 保持 软件 处 于 受 控 状 态 ， 这 样 黑客 造成 的 伤害 就 会 较 小 。 下 面 
将 详细 讨论 虚拟 环境 。 


10.4.1 定义 虚拟 环境 

虚拟 环境 可 以 指 代 任 何 提供 隔绝 其 他 软件 方法 的 软件 。 你 可 以 将 其 想 为 一 个 容器 ， 因 为 它 
就 是 。 本 章 前 几 节 已 经 朱 述 了 各 种 虚拟 环境 。 但 是 ， 这 一 节 会 描述 用 于 开发 目的 的 那 种 虚 
拟 环 境 ， 而 不 是 作为 用 户 来 运行 应 用 程序 。 

采用 虚拟 化 的 基本 理由 是 要 隔绝 所 有 或 部 分 开发 环境 ， 这 样 你 就 能 任意 操作 应 用 程序 。 发 
现 安全 问题 实际 意味 着 你 要 用 在 标准 的 操作 系统 中 永远 不 会 使 用 的 方式 去 体验 软件 (特别 
是 没有 人 会 连接 到 你 所 使 用 的 网 络 ， 这 样 你 的 错误 就 不 会 影响 到 任何 人 )。 


有 些 语 言 有 自己 的 虚拟 环境 工具 。 例 如 ，Python 用 户 有 很 多 创建 虚拟 环境 
的 工具 。 这 些 工具 使 得 为 特定 语言 搭建 特定 环境 变 得 更 简单 。 你 可 以 在 网 页 
http://docs.pythonguide.org/en/latest/dev/virtualenvs/ 上 了 解 Python 所 能 提供 的 
服务 。 其 要 点 是 查找 可 能 的 针对 具体 语言 的 工具 来 创建 可 用 于 该 语言 的 虚拟 
环境 。 





















































虚拟 环境 还 能 包含 比 沙 盒 更 多 的 特性 。 可 以 创建 带 有 特定 操作 系统 、 开 发 工具 、 应 用 搭建 
和 浏览 器 的 虚拟 环境 。 虚 拟 环 境 可 以 模拟 开发 过 程 中 的 每 个 部 分 ， 这 样 你 就 能 在 一 个 虚拟 
环境 中 安装 Apache 服务 器 而 在 另 一 个 环境 中 安装 IIS 服务 器 。 这 两 个 虚拟 环境 可 以 存在 于 
同一 台 机 器 上 而 不 会 产生 冲突 。 


10.4.2 ”区 分 虚拟 环境 和 沙 盒 


虚拟 环境 和 沙 盒 有 许多 相似 点 。 本 章 前 面 描述 了 二 者 最 常见 的 相似 点 ， 比 如 保证 API 安 

全 。 大 部 分 虚拟 环境 和 沙 盒 的 基本 区 别 在 于 虚拟 环境 具有 以 下 特征 。 

。 可 重复 

当 你 将 虚拟 环境 文件 迁移 到 另 一 个 系统 时 ， 那 个 系统 可 以 像 原来 的 系统 一 样 正常 运行 虚 
拟 环 境 。 这 意味 着 每 个 开发 人 员 都 可 以 以 相同 的 方式 看 到 应 用 程序 ， 使 用 着 相同 的 开发 
环境 ， 所 以 在 一 个 系统 中 看 到 的 结果 可 以 在 另 一 个 系统 中 重 现 。 环 境 搭建 时 的 不 同 会 导 
致 难以 (有 时 候 是 不 可 能 ) 验证 安全 问题 的 出 现 。 

。 可 移动 
根据 你 所 使 用 的 虚拟 化 软件 ， 你 可 以 将 虚拟 环境 移动 到 任何 地 方 。 只 要 接收 到 虚拟 环境 
文件 的 开发 人 员 有 正确 的 软件 ， 就 可 以 精确 地 重建 开发 项 目 所 需 的 虚拟 环境 。 
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。 可 恢复 
虚拟 开发 环境 依赖 一 种 特殊 的 文件 ， 它 定义 了 如 何 创建 所 需 的 仿真 环境 。 如 果 你 的 试验 
导致 了 虚拟 环境 崩溃 ， 你 所 需要 做 的 就 是 关闭 虚拟 环境 的 这 个 副本 并 启用 另 一 个 。 恢 复 
只 会 花费 软件 加 载 所 需 的 时 间 ， 可 能 只 需要 几 秒 钟 。 


。 可 重建 
有 时 候 你 需要 在 你 的 系统 上 运行 同一 个 项 目的 多 个 副本 。 你 可 以 创建 你 所 需要 的 任意 多 
的 虚拟 环境 副本 。 虚 拟 环境 的 特殊 属性 意味 着 你 创建 的 每 一 个 副本 一 开始 都 有 完全 相同 
的 资源 、 加 载 的 软件 、 环 境 等 。 因 此 ， 你 系统 中 的 每 一 个 副本 都 是 其 他 副本 的 复制 品 。 


10.4.3 “实现 虚拟 化 


一 个 最 有 趣 的 虚拟 开发 环境 是 Vagrant (https:Wwww.vagrantup.com/) 。 这 个 产品 可 以 在 任 
何 Windows、OS X 或 常用 的 Linux 系统 (有 很 多 版 本 的 Linux 不 能 使 用 Vagrant， 所 以 一 
定 要 检查 列表 以 确定 Vagrant 支持 你 的 Linux 发 行 版 ) 上 运行 。 要 使 用 这 个 产品 ， 要 在 系 
统 中 安装 它 ， 配 置 你 想 用 于 开发 的 环境 ， 并 把 你 的 项 目 代 码 放 到 结果 文件 中 。 任 何 时 候 你 
想 要 启用 这 个 项 目的 开发 环境 ， 只 需要 输入 vagrant up 命令 ， 它 就 会 为 你 配置 正确 的 环 
境 。 无 论 你 把 项 目 文件 移动 到 哪里 ， 这 个 产品 都 会 创建 出 相同 的 环境 。Vagrant 对 于 独立 
的 开发 人 员 或 小 型 公司 是 一 个 更 佳 的 选择 ， 它 不 贵 且 易于 使 用 。 

另 一 个 有 用 的 虚拟 环境 产品 是 Puppet (https://puppetlabs.com/)。 这 个 产品 依赖 VMware 
(http://www.vmware.com/) ，Puppet 负责 执行 管理 任务 。Puppet 与 VMware 的 结合 能 更 好 地 适 
应 企业 环境 ， 因 为 VMware 有 大 量 的 工具 可 供 你 使 用 ， 并 且 它 还 能 提供 对 大 型 业务 的 支持 。 


10.4.4 依靠 应 用 程序 虚拟 化 


目前 存在 各 种 各 样 的 虚拟 环境 以 满足 你 能 想到 的 任何 需求 。 例 如 ，Cameo (http://www. 
cameyo.com/) 可 以 将 任何 应 用 程序 打包 成 单一 的 可 执行 文件 〈.exe 文件 )， 然 后 你 可 以 将 
它 复制 到 任何 的 Windows 计算 机 且 不 需要 任何 安装 就 能 运行 它 。 如 果 你 需要 支持 其 他 平 
台 ， 可 以 将 应 用 程序 复制 到 Cameo 云 服 务 器 上 并 在 那里 执行 它 。 

应 用 程序 虚拟 化 是 一 种 打包 封装 的 方案 。 你 要 创建 一 个 专门 满足 这 个 应 用 程序 的 虚拟 环 
境 。 图 10-7 展示 了 虚拟 应 用 环境 可 能 是 什么 样子 。 就 应 用 程序 而 言 ， 它 正在 其 原生 的 环境 
中 执行 操作 ， 尽 管 它 正在 使 用 一 个 完全 不 同 的 操作 系统 。 
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图 形 化 功能 














图 10-7: 应 用 虚拟 化 是 一 种 打包 技术 


另 一 个 能 提供 应 用 程序 虚拟 环境 的 产品 是 Evalaze (http://www.evalaze.de/en/evalaze-oxid/) 。 
这 个 产品 强调 的 是 它 连 同 应 用 程序 虚拟 化 一 起 提供 的 沙 盒 环境 。 你 可 以 用 它 来 使 应 用 程序 
在 各 种 地 方 运行 ， 包 括 在 记忆 棒 中 。 如 果 你 的 应 用 程序 要 求 一 个 特定 的 浏览 器 ， 并 且 你 想 
要 确定 用 户 的 环境 是 正确 配置 的 ， 那 么 这 是 一 个 很 好 的 解决 方案 。 


研究 一 个 合适 的 虚拟 化 方案 会 花费 时 间 ， 并 且 你 需要 以 开放 的 心态 来 进行 研究 。 某 些 看 起 
来 怪异 的 解决 方案 可 能 正 是 你 为 自己 的 应 用 程序 创建 安全 环境 所 必需 的 。 
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检查 库 和 API 的 漏洞 





在 了 解 某 个 软件 以 怎样 的 方式 运作 之 前 ， 你 需要 对 它 进 行 测 试 。 是 的 ， 你 有 一 份 文档 并 且 
会 依据 文档 来 编写 代码 。 你 甚至 会 调试 代码 来 确保 设 有 明显 的 错误 。 但 是 ， 在 进行 某 种 级 
别 的 测试 之 前 ， 你 无 法 知道 这 些 代 码 是 否 实现 了 最 初 想 要 实现 的 功能 。 测 试 能 够 确保 软件 
像 你 期 望 的 那样 运作 。 


本 音 会 讨论 传统 意义 上 的 测试 ， 但 也 会 涉及 非 传统 的 测试 类 型 。 一 个 标准 的 测试 框架 会 提 
供 特定 的 输入 ， 然 后 验证 期 望 的 和 输出。 但 是 ， 现 实 世 界 并 不 总 是 会 提供 这 种 库 和 API 期 望 
的 输入 ， 所 以 测试 其 他 输入 也 是 很 重要 的 。 当 然 ， 以 这 种 方式 测试 时 ， 你 不 知道 要 期 望 什 
么 作为 输出 。 库 或 API 的 设计 必须 包含 能 从 错误 输入 中 恢复 的 功能 ， 这 样 系 统 才 不 会 崩 
溃 。 但 是 在 执行 所 需 级 别 的 测试 之 前 你 并 不 知道 这 个 功能 是 否 存在 。 

测试 能 够 并 且 应 该 在 多 个 级 别 上 进行 。 单 元 测试 ， 即 对 单个 代码 块 的 测试 要 首先 进行 。 开 
发 人 员 要 在 编写 完 代码 后 不 久 就 开始 执行 这 类 测试 。 接 着 要 把 应 用 程序 各 部 分 组 合 在 一 起 
进行 集成 测试 。 最 后 ， 应 用 程序 作为 一 个 整体 与 所 有 已 完成 的 软件 进行 测试 。 所 有 这 些 级 
别 的 测试 (以 及 更 多 测试 ) 都 要 求 进行 安全 测试 ， 即 检查 意料 之 外 的 输入 和 确定 代码 是 否 
以 可 接受 的 方式 执行 。 在 此 期 间 ， 开 发 人 员 还 要 创建 测试 框架 ， 即 能 自动 进行 测试 过 程 的 
测试 程序 ， 这 样 测 试 就 能 更 加 可 靠 和 一 致 。 

每 种 开发 语言 都 有 开发 人 员 必 须 检 查 的 特定 问题 。 本 章 的 最 后 一 节 会 探讨 在 执行 安全 测试 
时 如 何 检查 具体 的 编程 语言 问题 。 与 其 他 测试 领域 不 同 ， 特 定语 言 的 问题 会 围绕 着 安全 进 
行 测试 ， 因 为 墨客 常常 寻找 这 些 不 同 点 来 作为 攻击 方法 ， 通 过 其 可 导致 应 用 程序 以 特定 方 
式 骨 溃 或 使 应 用 程序 出 现 逻 辑 错误 ， 这 样 黑 客 就 能 利用 其 进行 人 侵 。 跟 踪 语 言 的 缺陷 与 跟 
踪 第 三 方 库 和 API 的 缺陷 一 样 重要 。 你 需要 以 各 种 可 能 的 角度 来 测试 应 用 程序 的 每 个 间 
分 ， 以 确保 应 用 程序 会 以 预期 的 方式 运行 。 
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跳出 常规 思维 的 测试 
代码 依赖 过 程 。 是 的 ， 代 码 可 能 是 事件 驱动 的 ， 或 者 它 可 能 不 包含 状态 的 概念 ， 但 本 
质 上 ， 代 码 是 依赖 一 系列 步骤 来 完成 任务 的 。 这 一 系列 步骤 就 是 一 个 过 程 。 在 这 里 ， 
过 程 是 否 完成 无 关 紧 要 。 
我 上 小 学 的 时 候 第 一 次 见识 了 跳出 常规 思维 的 测试 。 那 段 时 间 的 大 部 分 事情 已 经 不 记 
得 了 ， 但 有 一 件 事 在 这 些 年 里 一 直 作为 我 的 一 项 生活 技能 而 被 我 牢 牢记 住 。 老 师 让 我 
们 所 有 人 写 一 个 烘 烤 面包 的 过 程 。 这 看 起 来 是 一 个 很 简单 的 要 求 ， 但 是 我 们 所 有 人 都 
失败 了 。 每 个 人 想 的 都 是 ， 把 一 片面 包 拿 出 来 并 放 入 到 烘 烤 机 中 。 等 待 烘 烤 的 面包 弹 
出 来 没有 问题 ， 之 后 给 烘 烤 的 面包 涂 上 黄油 也 没有 问题 。 


问题 出 在 了 将 每 片面 包 从 包装 纸 中 拿 出 来 的 环节 。 当 老师 按照 我 们 写 的 过 程 操作 时 ， 
是 的 ， 她 尝试 将 每 片面 包 连 同 包装 纸 一 起 放 入 了 烤箱 。 我 们 所 有 人 都 做 了 一 个 有 缺陷 
的 假设 。 计 算 机 就 像 我 的 老师 。 我 们 基于 常识 和 经 验 来 假设 计算 机 将 会 做 的 事情 ， 但 
这 两 样 (常识 和 经 验 ) 计算 机 都 没有 。 跳 出 常规 思维 的 测试 意味 着 ， 在 开发 代码 的 过 
程 中 每 个 人 都 能 做 出 每 片面 包 都 在 包装 纸 里 的 假设 。 安 全 漏洞 常常 是 由 于 开发 人 员 不 
应 该 做 的 假设 引起 的 。 





11.1 创建 测试 计划 





每 个 测试 场景 都 需要 一 个 测试 计划 。 虽 然 你 想 要 有 跳出 常规 思维 的 测试 ， 但 确实 需要 一 些 
结构 化 的 方法 来 执行 测试 。 否 则 ， 测 试 会 变 得 不 一 臻 和 不 完整 。 为 了 达到 有 用 的 目的 ， 测 
试 需要 有 条 理 ， 并 且 有 足够 的 灵活 性 能 够 在 你 需要 的 时 候 提 供 更 多 测试 的 能 力 。 为 此 ， 下 


面 将 帮 你 从 开发 的 角度 制订 一 个 测试 计划 。 


要 特别 注意 的 是 ， 测 试 计划 常常 有 很 多 阶段 和 方向 。 应 用 开发 工作 中 的 每 一 
位 利益 相关 者 都 会 想 执行 某 些 级 别 的 测试 ， 以 确保 应 用 程序 满足 特定 的 目的 
和 目标 。 这 些 观点 可 能 会 发 生 冲 突 ， 但 大 部 分 情况 下 ， 它 们 只 是 相互 补充 。 
例如 ，DBA 可 能 想 验证 应 用 程序 与 数据 库 的 交互 方式 是 与 公司 的 指导 原则 











相 一 致 的 。 


11.1.1 考虑 目的 和 目标 


除非 开发 团队 定义 了 测试 的 目的 (goal) 和 目标 (objective)， 








否则 测试 不 会 成 功 。 简 单 来 


说 ， 目 的 就 是 确定 应 用 程序 是 否 能 满足 公司 要 求 的 技术 和 业务 需求 。 而 目标 则 是 确定 应 用 
程序 在 某 个 业务 环境 中 能 够 成 功 地 执行 一 些 任 务 。 例 如 ， 某 个 目标 可 能 是 要 将 新 用 户 添加 














到 数据 库 而 不 会 产生 错误 、 重 复 的 用 户 或 泄露 核心 信息 。 下 本 








i 将 讨论 为 了 得 到 一 个 可 用 的 








结构 ， 测 试 必须 满足 的 目的 和 目标 。 
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制订 测试 的 替代 方案 
测试 不 是 检查 应 用 程序 的 唯一 方法 。 测 试 的 要 点 是 验证 应 用 程序 以 确定 的 方式 运行 。 
其 他 技术 也 能 达到 同样 的 目的 。 测 试 最 常见 的 替代 方案 是 代码 检查 、 统 计 分 析 、 模 型 


检查 和 论证 。 每 一 种 方案 都 可 作为 你 提升 应 用 程序 安全 性 和 确保 应 用 程序 可 靠 运行 的 


策略 的 一 部 分 。 

代码 检查 是 人 工 进 行 的 检查 。 一 个 团队 会 审查 一 遍 代码 并 验证 其 设计 和 实现 满足 规范 
的 要 求 。 采 用 代码 检查 有 助 于 定位 自动 化 方法 可 能 遗 泌 的 潜在 编码 问题 。 事 实 上 ,应 
用 程序 很 有 可 能 带 着 严重 的 缺陷 通过 编译 并 执行 ， 而 代码 检查 可 以 发 现 这 些 缺陷 。 你 
可 以 在 网 页 https://www.owasp.org/index.php/Code_Review_Introduction 上 查看 更 多 关于 
代码 检查 的 信息 。 


统计 分 析 的 过 程 与 代码 检查 一 样 ， 但 它 使 用 了 自动 化 工具 而 不 是 人 工 进行 检查 。 统 计 
分 析 的 优点 是 一 致 性 和 速度 。 自 动 化 工具 会 以 完全 相同 的 方式 检查 应 用 程序 的 每 一 个 
方面 ， 并 且 不 会 由 于 疲劳 而 产生 错误 。 此 外 ， 自 动 化 工具 比 人 工作 得 更 快 。 但 是 ， 自 
动 化 工具 也 可 能 遗漏 那 些 人 工 几 乎 可 以 立刻 发 现 的 错误 。 你 可 以 在 网 页 https://www. 


owasp.org/index.php/Static_Code_Analysis 上 查看 更 多 关于 统计 分 析 的 信息 。 
模型 测试 会 验证 应 用 程序 的 属性 是 否 满足 规范 的 要 求 。 大 部 分 情况 下 ， 这 意味 着 要 验 


证 应 用 程序 是 否 能 提供 算法 等 要 素 的 解决 方案 。 此 类 测试 是 自动 化 的 ， 但 需求 大 量 的 


人 工 输入 才能 执行 。 你 可 以 在 网 页 https://www7.in.tum.de/um/25/target.html 上 查看 更 多 


关于 模型 测试 的 内 容 。 
论证 常常 表现 为 对 应 用 程序 进行 某 些 形式 的 压力 测试 。 论 证 要 验证 应 用 程序 是 否 能 根 


据 需要 执行 操作 ， 即 使 在 承受 大 量 负载 的 情况 下 。 








1. 确定 目的 


目的 定义 了 一 个 人 或 实体 要 去 满足 的 条 件 。 你 可 以 给 应 用 程序 测试 设置 各 种 目的 ， 比 如 在 








42 皮 秒 内 精确 计算 pi 的 值 。 当 然 ， 这 个 目的 无 法 达到 ， 因 为 计算 精确 的 pi 值 是 不 可 能 让 
有 些 公司 会 给 应 用 程序 设置 相同 类 型 的 目的 ， 且 在 测试 过 程 明显 达 不 到 这 个 目的 时 放弃 。 
现实 的 目的 是 在 分 配 的 时 间 内 采用 可 获取 的 资源 可 以 完成 的 。 

此 外 ， 衡 量 目的 是 否 达 成 必须 有 一 个 标准 。 这 不 只 是 要 知道 测试 是 否 成 功 ， 还 要 知道 测试 
成 功 到 什么 程度 。 为 了 知道 测试 过 程 的 好 坏 ， 你 设 定 的 目的 必须 包含 用 于 定义 期 望 输出 苑 








围 的 方法 ， 比 如 在 给 定 的 99% 的 时 间 内 ， 应 用 程序 计算 出 的 结果 都 是 正确 的 。 


























你 给 应 用 程序 设 定 的 目的 ， 依 赖 于 你 希望 从 应 用 程序 得 到 什么 以 及 你 有 多 少时 间 可 用 来 实 
现 这 一 目的 。 但 是 ， 你 可 以 依据 下 面 的 分 类 来 确定 目的 。 














验证 和 校 验 

仿 证 和 校 验 可 以 发 现 错误 。 而 且 ， 它 还 能 保证 对 于 给 定 的 特定 输入 ， 应 用 程序 可 以 提供 
所 设计 的 输出 。 软 件 必须 按 规范 定义 的 那样 工作 。 从 安全 的 角度 来 说 ， 你 必须 用 期 望 的 
和 不 期 望 的 输入 来 测试 软件 ， 并 验证 它 在 这 两 种 情况 下 是 否 都 能 正确 响应 。 
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。 优先 级 敌 盖 
世界 上 最 安全 的 软件 会 用 每 一 种 可 能 的 方式 对 每 个 函数 进行 测试 。 但 是 ， 在 现实 世界 
中 ， 有 限 的 时 间 和 资金 使 得 不 可 能 进行 这 样 完全 的 测试 。 为 了 尽 可 能 完全 地 测试 软件 ， 
你 必须 先进 行 概要 分 析 以 确定 软件 在 哪些 地 方 花 了 最 多 的 时 间 ， 然 后 将 自己 的 工作 聚焦 
在 那里 。 但 是 ， 其 他 因素 也 要 考虑 。 即 使 一 个 功能 不 经 常 使 用 ， 但 当 它 是 不 能 失败 (一 
次 失败 会 导致 灾难 性 后 果 ) 的 情况 时 ， 你 可 能 仍然 必须 给 它 高 的 优先 级 。 优 先 级 覆盖 必 
须 包含 只 有 你 的 应 用 程序 会 处 理 的 因素 。 
。 平 街 
测试 过 程 必须 平衡 所 写 的 需求 、 现 实 世 界 的 限制 以 及 用 户 的 期 望 。 当 进行 菜 项 测试 时 ， 
你 必须 证 明 结果 是 可 重复 的 并 且 是 与 测试 人 员 无 关 的 。 避 免 测试 过 程 中 的 偏见 很 重要 。 
说 明 规范 包含 的 内 容 很 可 能 与 用 户 期 望 的 内 容 不 能 完全 匹配 。 错 误 的 沟通 (或 者 有 时 候 
完全 没有 沟通 ) 会 妨碍 在 规范 与 用 户 认为 应 用 程序 应 该 怎么 做 之 间 保 持 完全 一 致 。 因 
此 ， 你 还 可 能 需要 考虑 将 未 被 写 进 规范 的 期 望 作为 测试 过 程 中 的 一 部 分 。 


。 可 跟踪 的 
用 文档 记录 完整 的 测试 过 程 对 于 后 面 重新 进行 测试 是 很 关键 的 。 文 档 必 须 描述 成 功 和 失 
败 的 情况 。 此 外 ， 它 还 必须 指明 要 测试 什么 以 及 测试 团队 会 如 何 进行 测试 。 文 档 还 要 包 
含 测试 团队 可 用 来 进行 软件 测试 的 测试 框架 和 其 他 工具 。 如 果 没 有 完整 记录 测试 团队 用 
到 的 每 一 个 东西 ， 就 不 可 能 在 后 面 重新 创建 测试 环境 。 

。 确定 性 
你 执行 的 测试 不 应 该 是 随机 的 。 任 何 测 试 都 应 该 测试 特定 的 软件 功能 ， 并 且 你 应 该 知 
道 这 些 功 能 是 什么 。 此 外 ， 测 试 应 该 给 出 在 特定 输入 下 的 特定 输出 。 测 试 团队 应 该 总 
是 预先 了 解 如 何 做 测试 ， 并 且 要 定义 它们 应 该 提供 的 结果 ， 这 样 可 以 使 错误 很 明显 被 
发 现 。 

2. 测试 性 能 

许多 人 把 性 能 与 速度 画 上 等 号 ， 但 性 能 不 只 是 包括 速度 。 一 个 很 快 但 不 能 正确 执行 任务 的 

应 用 程序 ， 是 没有 用 的 。 类 似 地 ， 一 个 应 用 程序 可 以 很 好 地 执行 一 项 任务 ， 但 将 其 处 理 的 

信息 提供 到 了 错误 的 地 方 也 是 没有 用 的 。 为 了 良好 地 运行 ， 应 用 程序 必须 可 靠 、 安 全 、 快 

速 地 执行 任务 。 

这 里 的 每 个 性 能 元 素 是 相互 制约 的 。 提 升 安全 性 会 使 得 应 用 程序 变 慢 ， 因 为 开发 人 员 要 

加 入 更 多 的 代码 来 进行 安全 检查 。 增 加 代码 会 使 应 用 程序 运行 得 更 慢 。 类 似 地 ， 可 靠 性 

会 导致 应 用 程序 变 慢 ， 因 为 更 多 的 检查 同样 会 被 添加 进来 。 安 全 检查 会 降低 应 用 程序 的 

可 靠 性 ， 它 会 牺牲 功能 来 降低 风险 ， 一 个 可 靠 的 应 用 程序 可 以 在 各 种 给 定 的 环境 中 提供 

所 有 期 望 的 功能 ( 它 不 会 失败 )。 总 之 ， 性 能 的 所 有 元 素 之 间 是 相互 作用 的 ， 如 图 11-1 

所 示 。 
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图 11-1: 性 能 包括 速度 、 可 靠 性 和 安全 性 


为 了 测试 应 用 程序 的 性 能 ， 你 必须 验证 速度 、 可 靠 性 和 安全 性 之 间 的 平衡 。 平 衡 的 应 用 程 
序 可 以 运行 良好 且 不 会 给 用 户 增加 负担 ， 但 仍然 可 以 可 靠 和 有 效 地 处 理 数据 。 

3. 测试 可 用 性 

许多 测试 场景 没有 测试 可 用 性 。 确 定 用 户 能 多 好 地 与 软件 进行 交互 是 很 重要 的 ， 因 为 软件 
的 目的 是 让 用 户 变 得 更 高 产 〈 用 户 是 人 还 是 机 器 不 重要 )。 一 个 令 人 迷惑 或 无 用 的 界面 会 
使 用 户 无 法 正确 地 与 软件 交互 ， 从 而 会 导致 安全 问题 。 除 了 完成 任务 所 需 的 步骤 之 外 ， 测 
试 过 程 还 需要 考虑 用 户 的 身体 和 感情 的 需求 。 例 如 ， 让 一 名 色 宣 用 户 去 点 击 红色 按钮 可 能 
得 不 到 想 要 的 效果 。 没 有 除 颜 色 以 外 区 分 按钮 的 方法 几乎 肯定 会 导致 输入 问题 ， 而 这 最 终 
会 导致 安全 问题 。 


在 执行 测试 步骤 时 很 容易 变 得 自满 。 用 户 通 常会 依赖 键盘 和 鼠标 输入 作为 基 
本 操作 ， 所 以 你 需要 测试 这 两 种 情况 。 但 是 ， 用 户 可 能 有 更 广泛 的 访问 选 
项 。 例 如 ， 按 住 Control 键 的 组 合 会 以 与 单纯 按 住 标 准 键 不 同 的 方式 执行 任 
务 ， 所 以 你 还 需要 测试 这 种 类 型 的 输入 。 测 试 每 一 种 可 能 条 件 下 的 每 一 种 输 
入 不 是 必要 的 ， 但 你 应 该 知道 应 用 程序 可 以 正确 处 理 各 种 输入 类 型 。 



























































4. 测试 平台 类 型 

所 使 用 的 平台 不 同 ， 软 件 的 表现 也 会 不 同 。 通 过 本 书 ， 你 已 经 看 到 用 户 可 以 并 将 会 使 用 各 
种 设备 来 与 任何 应 用 程序 进行 交互 。 在 所 有 可 能 的 平台 上 测试 应 用 程序 是 不 太 可 能 的 ， 因 
为 某 些 平台 在 测试 的 时 候 甚 至 还 不 可 用 。 因 此 ， 你 必须 指定 平台 类 型 一 一 依 据 能 力 和 功能 ， 
设备 会 落 入 特定 的 分 类 。 例 如 ， 根 据 应 用 程序 的 功能 ， 可 以 将 智能 手机 分 为 两 类 或 三 类 。 
一 家 公司 不 太 可 能 知道 用 户 用 来 执行 与 工作 相关 任务 的 各 种 设备 类 型 。 在 应 
用 程序 设计 过 程 中 进行 一 次 调查 以 获取 可 能 的 用 户 设备 清单 是 很 重要 的 。 你 
在 为 特定 的 设备 类 型 创建 测试 场景 时 可 以 使 用 这 份 清单 。 
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当 处 理 平台 类 型 的 问题 时 ， 特 别 重要 的 是 要 查看 设备 在 物理 上 和 界面 的 工作 方式 有 什么 不 
同 。 浏 览 器 在 标准 级 别 上 的 不 同 也 会 造成 很 大 的 差异 。 任 何 会 导致 应 用 程序 在 不 同 平台 上 
工作 得 不 一 样 的 问题 ， 都 是 一 个 测试 主题 。 你 需要 确保 这 些 差 异 不 会 导致 应 用 程序 以 你 不 
希望 的 方式 运行 。 
5. 实现 测试 原则 
测试 原则 是 你 可 用 于 各 种 形式 的 测试 的 指导 原则 。 原 则 影响 着 应 用 测试 的 每 个 方面 ， 并 且 
每 个 级 别 的 测试 。 当 你 执行 API 的 单元 测试 时 ， 要 采用 在 集成 测试 时 将 应 用 程序 作为 整体 
测试 所 用 的 相同 原则 。 下 面 列 出 的 原则 对 于 各 种 测试 来 说 是 通用 的 。 
。 使 软件 失败 
测试 的 目标 是 要 导致 应 用 程序 失败 。 如 果 你 测试 应 用 程序 是 要 看 它 成 功 ， 那 么 永远 无 法 
找到 应 用 程序 的 错误 。 测 试 过 程 应 该 暴露 尽 可 能 多 的 错误 ， 因 为 黑客 肯定 会 寻找 这 些 错 
误 并 加 以 利用 。 你 没有 找到 的 错误 就 是 黑客 会 用 来 对 付 你 的 错误 。 
。 尽早 测试 
你 越 快 找到 错误 ， 修 复 它 的 成 本 就 越 低 。 修 复 一 个 bug 的 成 本 会 随 着 时 间 增 加 ， 如 区 
11-2 所 示 。 每 个 bug 修复 的 成 本 越 高 ， 每 个 bag 发 现 得 越 晚 ， 因 为 时 间 和 成 本 的 考量 
你 可 以 修复 的 bug 就 越 少 ， 应 用 程序 就 越 不 安全 。 
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图 11-2; 尽早 发 现 bug 可 以 留 下 更 多 时 间 和 人 金钱 来 发 现 更 多 的 bug 


。 使 测试 依赖 上 下 文 
应 用 程序 的 上 下 文 能 帮 你 确定 如 何 测 试 它 。 例 如 ， 对 安全 要 求 很 高 的 应 用 程序 与 电子 商 
务 网 站 的 应 用 程序 ， 需 要 不 同 的 测试 。 开 发 方法 也 会 影响 测试 上 下 文 。 采 用 瀑布 流 方 法 
开发 的 应 用 程序 与 依靠 敏捷 方法 开发 的 应 用 程序 需要 不 同 的 测试 。 使 用 正确 的 测试 上 下 
文 让 你 更 有 可 能 发 现 导 致 问题 的 bug， 从 而 帮 你 提升 应 用 程序 的 安全 性 。 
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创建 有 效 的 测试 用 例 

创建 的 测试 用 例 越 完整 、 越 精确 ， 测 试 就 会 越 有 效 ， 安 全 性 也 会 越 高 。 测 试用 例 必 须 
包含 用 户 和 应 用 程序 架构 的 需求 。 每 个 测试 用 例 包 含 提供 给 应 用 程序 代码 的 精确 输入 
以 及 对 所 期 望 的 精确 输出 的 描述 。 输 入 和 输出 使 用 可 测量 的 数量 以 避免 歧义 ， 这 是 很 
重要 的 。 

定期 检查 测试 用 例 

重复 使 用 相同 的 测试 用 例会 创建 出 无 法 找 出 错误 的 测试 框架 。 随 着 潜在 的 应 用 程序 问题 
变 得 已 知 ， 检 查 测 试用 例 是 很 重要 的 ， 这 样 测 试 才 可 以 继续 推动 应 用 程序 变 得 更 加 坚固 
并 找到 更 多 bug。 作 为 检查 过 程 的 一 部 分 ， 你 还 应 该 执行 试探 性 测试 以 定位 没有 人 想到 
过 的 、 没 有 用 户 遇 到 过 的 以 及 没有 黑客 利用 过 的 潜在 bug。 


使 用 各 种 测试 人 员 
有 些 公司 在 发 布 、 验 收 、 集 成 和 单元 测试 等 不 同 的 测试 阶段 会 依赖 不 同 的 测试 人 员 。 使 
用 分 级 别 的 测试 是 有 效 的 ， 但 是 在 开发 过 程 中 聘用 各 种 测试 人 员 会 得 到 更 好 的 结果 。 例 
如 ， 在 应 用 程序 的 早期 阶段 依赖 用 户 进行 测试 能 帮忙 定位 界面 设计 中 的 安全 问题 ， 在 这 
个 时 候 要 修复 它们 是 比较 容易 和 节约 成 本 的 。 


执行 静态 和 动态 测试 

使 用 静态 测试 可 以 测 出 应 用 程序 的 深度 并 反映 开发 人 员 对 问题 领域 和 数据 结构 的 理解 。 
使 用 动态 测试 可 以 测 出 应 用 程度 的 宽度 并 反映 应 用 程序 处 理 极端 输入 的 能 力 。 使 用 这 两 
种 测试 有 助 于 确保 测试 过 程 可 以 在 分 配 的 时 间 内 获得 尽 可 能 多 的 bug。 


寻找 缺陷 群 

错误 倾向 于 成 群发 生 。 在 一 个 代码 段 中 找到 错误 的 可 能 性 与 在 这 个 代码 段 中 已 经 发 现 的 
错误 数量 成 正比 。 

执行 测试 评估 

每 一 个 测试 用 例 需要 有 完成 度 的 评估 ， 以 确定 其 成 功 或 失败 。 当 测试 用 例 的 数量 低 于 某 
个 临界 值 时 ， 你 可 依赖 人 工 检查 员 。 当 测试 用 例 的 数量 很 高 时 ， 除 了 人 工 检查 员 ， 你 还 
必须 包括 自动 化 检查 。 

避免 没有 错误 的 神话 

不 能 因为 一 个 应 用 程序 在 运行 时 没有 检测 到 错误 就 认为 其 没有 错误 。 应 用 程序 会 有 各 种 
测试 不 到 的 错误 ， 比 如 不 能 满足 用 户 的 需求 。 此 外 ， 测 试 只 能 检查 到 开发 人 员 为 它们 创 
建 的 检查 点 。 一 次 测试 发 现 不 了 茶 个 错误 可 能 只 是 因为 没有 测试 到 它 。 应 用 程序 通常 都 
有 错误 ， 而 其 中 很 多 是 检测 不 到 的 。 

结束 测试 过 程 

理论 上 来 说 ， 你 可 以 持续 地 测试 一 个 应 用 程序 来 查找 错误 (并 继续 发 现 它们 )。 但 是 ， 
由 于 金钱 、 时 间 和 软件 质量 等 综合 原因 ， 测 试 通常 在 某 个 点 结束 。 当 使 用 某 个 应 用 程序 
的 风险 变 得 足够 低 ， 并 且 用 户 认为 应 用 程序 足够 好 用 时 ， 测 试 过 程 通常 会 停止 ， 即 使 仍 
然 有 些 问题 需要 考虑 。 因 此 ， 你 用 于 任何 目的 的 任何 一 款 软件 都 有 可 能 包含 导致 安全 风 
险 的 错误 。 
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6. 理解 测试 的 局 限 性 

测试 不 能 提供 软件 性 能 的 完整 情况 。 它 能 帮 你 确定 关于 软件 的 具体 事实 ， 但 不 能 保证 软件 
不 会 崩溃 。 对 于 测试 过 程 设置 实际 的 期 望 值 并 且 在 理解 测试 结果 并 不 完整 的 情况 下 执行 这 
一 过 程 是 很 重要 的 。 以 下 是 一 些 你 需要 考虑 的 测试 的 局 限 性 。 








测试 人 员 不 是 通 灵 大 师 

测试 只 能 揭示 错误 的 存在 ， 但 永远 不 能 让 它们 消失 。 测 试 过 程 可 以 确定 已 知 问题 的 存 
在 。 测 试 人 员 无 法 测试 未 知 或 未 被 发 现 的 问题 。 

测试 不 是 一 个 决策 工具 

测试 只 能 帮 你 确定 软件 的 状态 。 它 不 能 帮 你 确定 软件 是 否 可 以 安全 使 用 或 你 是 否 应 该 带 
着 一 些 bug 发 布 它 。 

用 户 会 找到 一 个 不 能 工作 的 环境 

测试 只 能 确定 软件 会 在 特定 的 环境 中 有 效 地 工作 。 如 果 用 户 在 一 个 条 件 不 同 的 环境 中 安 
装 软件 ， 它 可 能 会 出 故障 。 事 实 上 ， 你 对 环境 做 的 任何 改变 都 可 能 给 软件 造成 故障 ， 而 
在 测试 阶段 无 法 发 现 这 些 问 题 。 

问题 的 根源 对 于 测试 是 不 可 见 的 

测试 是 要 确定 在 给 定 特定 的 输入 时 故障 的 影响 ， 它 无 法 告诉 你 导致 故障 的 根源 。 在 测 
试 过 程 结束 之 后 你 只 知道 存在 一 个 故障 ， 你 必须 确定 故障 原因 。 





















































依靠 测试 工具 来 弥补 不 足 
人 工 测试 技巧 加 上 测试 框架 和 脚本 ， 让 你 在 定位 应 用 程序 潜在 的 安全 汤 洞 方面 有 明显 
的 优势 。 但 是 ， 大 部 分 开发 人 员 还 要 依赖 测试 工具 来 帮忙 弥补 这 些 长 期 备用 的 方案 的 
不 足 。 测 试 工具 可 以 查找 标准 的 测试 可 能 无 法 定位 的 安全 问题 ， 比 如 SQL 注入 、 跨 站 
脚本 (XSS)、 缓 冲 区 溢出 以 及 flash/flex 应 用 和 Web 2.0 的 漏洞 。 你 可 以 考虑 将 以 下 工 
有 具 加 入 到 你 的 开发 者 工具 箱 中 以 弥补 不 足 。 


4 WebInspect (http:/www8.hp.com/us/en/software-solutions/webinspect-dynamic-analysis- 
dast/) 
一 个 动态 应 用 安全 测试 (Dynamic Application Security Testing，DAST) 工具 ， 能 自 
动 查找 常用 的 攻击 行为 。 这 个 工具 会 模拟 在 这 些 攻击 下 应 用 程序 会 如 何 表现 ， 这 样 
你 就 能 很 容易 地 找 出 潜在 的 安全 漏洞 。 这 个 工具 可 用 于 Web 应 用 程序 和 服务 。 


4 AppScan (http:/www.ibm.com/developerworks/downloads/rappscan/) 
可 以 执行 广泛 的 测试 ， 包 括 DAST、 运 行 时 分 析 以 及 对 于 应 用 程序 及 服务 的 静态 污 
点 分 析 。 这 个 工具 的 重点 在 于 软件 生命 周期 中 的 弱点 管理 。 


4 Burp Proxy (https:Wportswigger.neVburp/proxy.html) 
在 你 的 系统 上 安装 一 个 能 拦 礁 应 用 程序 与 其 他 端点 通信 的 代理 服务 器 ， 使 得 你 可 以 
分 析 应 用 程序 的 请 求 和 响应 。 使 用 这 个 工具 可 以 查找 可 疑 的 活动 ， 这 些 活 动 平时 不 
会 引起 注意 ， 但 可 以 作为 黑客 发 起 攻击 的 前 兆 。 
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4 Paros (http://sourceforge.net/projects/paros/) 
创建 一 个 代理 服务 器 环境 ， 可 以 检查 和 编辑 应 用 程序 所 有 进来 和 出 去 的 通信 。 这 个 
工具 还 能 提供 一 些 扫描 能 力 ， 这 可 以 让 自动 化 测试 更 容易 。 





11.1.2 测试 内 部 库 

测试 内 部 库 (你 能 控制 和 拥有 的 库 ) 时 ， 你 可 以 访问 源 代 码 并 且 可 以 在 组 合成 库 之 前 对 每 
个 部 分 进行 单元 测试 。 这 个 方法 让 你 对 测试 过 程 有 更 大 的 控制 ， 可 以 以 较 低 的 成 本 测试 和 
修复 bug， 并 确保 你 可 以 进行 静态 和 动态 测试 以 更 高 效 地 定位 潜在 的 问题 。 
当然 ， 你 拥有 代码 也 意味 着 你 在 开发 应 用 程序 的 同时 也 在 写 库 的 代码 。 其 他 的 开发 人 员 也 
会 想 要 测试 。 这 意味 着 你 必须 采用 mocking (如 第 10 章 所 描述 的 那样 ) ， 以 确保 开发 按 预 
期 进行 。 当 你 进行 了 单独 的 单元 测试 并 确定 库 的 元 素 按 预 期 工作 时 ， 就 可 以 用 真实 的 元 素 
替换 模拟 的 元 素 。 


作为 测试 过 程 的 一 部 分 ， 你 还 可 以 为 库 创建 测 试 框架 ， 如 11.2.1 节 所 描述 的 那样 。 但 是 ， 
不 是 一 次 创建 一 整个 测试 框架 ， 而 是 在 每 次 真正 的 库 元素 可 用 时 创建 一 部 分 。 以 这 种 方式 
创建 测试 框架 有 助 于 你 跟踪 库 元 素 如 何 与 应 用 程序 交互 并 根据 需要 作出 改变 〈 当 改变 的 成 
本 很 低 时 )。 


11.1.3 测试 内 部 API 


与 内 部 库 一 样 ， 你 拥有 内 部 API 的 代码 。 由 于 API 不 是 应 用 程序 的 一 部 分 〈 它 在 不 同 的 进 
程 中 运行 )， 你 需要 搭建 一 套 服务 器 来 与 API 交互 。 但 是 你 不 能 用 生产 环境 的 服务 器 来 执 
行 这 个 任务 ， 因 为 你 创建 的 代码 会 有 各 种 问题 。 让 应 用 程序 可 配置 是 值得 的 ， 这 样 一 旦 你 
发 布 了 API， 只 更 改 一 个 配置 项 就 能 让 应 用 程序 指向 生产 环境 的 API。 

你 创建 的 任何 API 也 会 需要 依赖 mocking， 这 样 应 用 程序 的 开发 人 员 可 以 在 你 继续 完成 
API 时 开始 开发 应 用 程序 代码 。 当 真正 的 代码 可 用 时 ， 你 需要 用 真正 的 元 素 禁 换 模 拟 的 元 
素 。 意 识 到 模拟 的 元 素 会 提供 钠 装 回复 之 后 ， 采 用 11.2.2 市 中 所 说 的 技术 ， 从 一 开始 就 为 
API 开发 一 系列 测试 脚本 是 值得 的 。 事 实 上 ， 锣 装 回 复 会 提醒 你 哪些 元 素 仍 然 是 模拟 的 。 
很 重要 的 是 要 用 与 外 部 API 相同 的 标准 来 测试 内 部 API， 并 且 要 配置 与 生产 环境 匹配 的 测 
试 和 开发 环境 。 否则 ， 你 最 终 可 能 会 使 内 部 API 成 为 黑客 入 侵 网 络 的 途径 。 即 使 断 开 连接 
的 软件 也 很 容易 遭受 各 种 黑客 攻击 〈 如 前 面 章节 所 述 ) 。 


11.1.4 测试 外 部 库 


外 部 库 (包括 框架 和 各 种 类 似 库 的 代码 结构 ) 是 由 别人 拥有 的 。 这 样 的 库 在 你 开始 编写 自 
己 的 应 用 程序 之 前 就 完成 了 ， 并 且 理 论 上 来 说 ， 第 三 方 在 测试 和 维护 外 部 库 的 代码 。 但 
是 ， 这 些 库 在 大 部 分 情况 下 就 是 一 个 黑 盒 。 你 执行 完整 的 静态 测试 的 能 力 受 限于 第 三 方 提 
供 的 公开 模块 。 由 于 处 理 第 三 方 库 的 复杂 性 ， 完 整 的 静态 测试 是 不 可 能 的 ， 就 只 剩 下 动态 
测试 了 。 
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在 开始 编写 自己 的 应 用 程序 之 前 ， 在 提案 和 设计 阶段 ， 需 要 确保 你 所 选择 的 所 有 第 三 方 库 安 
全 并 完全 符合 应 用 程序 的 标准 。 最 流行 的 库 会 给 你 提供 一 个 测试 框架 ， 或 者 你 可 以 找到 可 用 
于 它们 的 第 三 方 测试 框架 。 但 是 ， 当 你 使 用 小 型 的 、 不 知名 的 库 时 ， 需 要 自己 搭建 测试 。 


人 们 很 容易 因为 一 个 库 、 框 架 、API 或 微服 务 很 流行 ， 就 认为 它 是 可 安全 
使 用 的 。 但 即使 是 像 jQuery 这 样 知名 的 产品 ， 你 也 可 以 在 诸如 http://www. 
cvedetails.com/vulnerabilitylist/vendor_id-6538/Jquery.html 这 样 的 网 站 上 找到 
它们 的 安全 问题 。 此 外 ， 即 使 产品 是 相当 安全 的 ， 使 用 不 当 也 会 导致 各 种 安 
全 问题 。 你 需要 查看 诸如 “如 何 安 全 并 明智 地 使 用 jQuery: 一 些 关 键 问 题 ” 
(http://resources.infosecinstitute.com/safely-and-wisely-use-jquery/) 这 样 的 文章 
来 发 现 稍 后 可 能 导致 故障 的 问题 。 每 一 段 代 码 都 会 有 缺陷 ， 每 一 段 代 码 都 会 
有 使 用 问题 ， 每 一 段 代码 都 是 不 安全 的 。 只 要 不 断 重复 这 三 句 话 ， 那 你 就 总 
是 正确 的 。 























11.1.5 ”测试 外 部 API 


外 部 API 很 受 欢 迎 ， 因 为 别人 拥有 代码 并 且 它 甚至 不 用 在 本 地 系统 上 运行 。 你 不 需要 下 载 代 
码 或 做 其 他 的 事情 ， 只 需 发 起 调用 。 调 用 外 部 API 的 巨大 诱惑 会 让 即使 是 最 小 心 的 开发 人 员 
也 有 虚假 的 安全 感 。 之 前 的 章节 已 经 告诉 你 API 可 能 会 导致 灾难 。 总 之 ， 比 起 其 他 代码 ， 你 
需要 更 小 心地 测试 外 部 API， 因 为 不 像 外 部 库 (扩展 到 框架 )， 你 永远 不 会 看 到 代码 。 执 行 
静态 测试 是 不 可 能 的 ， 所 以 动态 测试 最 好 在 你 决定 使 用 它 之 前 根据 其 教程 运行 一 志 API。 
与 使 用 库 不 同 ， 你 不 太 可 能 找到 针对 某 个 API 的 现成 的 脚本 套件 。 为 了 验证 API 可 以 按 预 
期 工作 ， 你 确实 需要 创建 一 套 脚 本 并 将 各 种 输入 发 送 给 API。 跟 踪 你 接收 到 的 响应 是 很 重 
要 的 ， 特 别 是 对 于 错误 的 输入 。 你 不 知道 API 会 如 何 响应 错误 的 输入 。 因 此 ， 你 不 知道 要 
如 何 编写 自己 应 用 程序 的 代码 来 对 错误 的 输入 反馈 作出 响应 。 换 言 之， 你 需要 知道 API 在 
接收 到 超出 范围 或 可 能 是 错误 类 型 的 数据 时 会 如 何 响应 。 


大 部 分 开发 人 员 认 为 错误 的 输入 会 来 自 应 用 程序 的 用 户 。 但 是 ，API 的 错误 输入 可 能 来 自 
一 次 拙劣 的 中 间 人 攻击 或 其 他 形式 的 攻击 。 错 误 的 输入 还 可 能 来 自 系 统 上 的 其 他 源 ， 它 反 
映 了 某 种 类 型 的 感染 或 其 他 问题 。 意 识 到 API 会 如 何 响应 错误 输入 ， 你 就 可 以 创建 某 种 安 
全 提示 来 告诉 你 某 处 出 错 了 。 把 它 想 成 是 矿井 策略 中 的 金 丝 省 。 错 误 的 输入 在 大 部 分 情况 
下 不 是 随便 发 生 的 ， 它 是 有 原因 的 ， 而 知道 导致 预料 之 外 的 响应 的 错误 输入 类 型 可 为 我 们 
定位 问题 的 根源 提供 线索 。 


11.1.6 ”扩展 测试 到 微服 务 

你 应 该 使 用 与 测试 API 一 样 的 技巧 来 测试 微服 务 。 与 API 一 样 ， 你 只 能 进行 动态 测试 ， 除 
非 你 拥有 微服 务 的 代码 。 此 外 ， 跟 踪 对 预料 之 外 的 输入 数据 的 响应 是 很 重要 的 ， 特 别 是 
当 你 计划 使 用 多 个 微服 务 来 执行 相同 的 任务 时 (替代 方案 可 以 对 你 选择 的 主 微服 务 提供 备 
份 )。 你 接收 到 的 响应 可 能 在 不 同 的 微服 务 间 会 有 变化 ， 这 意味 着 你 的 错误 处 理 代 码 变 得 
更 加 繁琐 。 
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但 是 ， 使 用 微服 务 时 需要 考虑 的 最 大 问题 是 ， 开 发 人 员 故 意 让 微服 务 保持 较 小 的 规模 。 你 
不 能 测试 最 常用 的 功能 ， 因 为 每 个 功能 都 是 常用 的 。 简 言 之 ， 测 试 脚本 现在 就 必须 完整 测 
试 每 个 微服 务 ， 这 会 给 测试 团队 增加 负担 。 


11.2 单独 测试 库 和 API 


第 一 级 别 的 测试 通常 是 单独 使 用 库 和 API。 微 服务 的 测试 过 程 与 API 类 似 ， 但 不 需要 复杂 
的 测试 框架 ， 因 为 微服 务 比 API 要 简单 。 接 下 来 的 几 小 节 描 述 了 对 库 和 API (可 以 扩展 到 
微服 务 ) 进行 单元 测试 时 可 采用 的 策略 。 很 重要 的 是 要 认识 到 你 可 以 直接 测试 API 和 微服 
务 ， 或 将 其 作为 API 虚拟 化 层 的 一 部 分 进行 测试 。 


11.2.1 为 库 创 建 测试 框架 
测试 框架 是 应 用 程序 代码 中 的 一 组 指令 ， 或 是 专门 添加 到 代码 中 的 ， 用 以 执行 各 种 测试 。 
因为 库 作 为 应 用 程序 的 一 部 分 存在 ， 所 以 测试 库 的 指令 也 会 作为 应 用 程序 的 一 部 分 。 
测试 指令 通常 出 现在 调试 代码 中 ， 比 如 assert() 这 类 函数 ， 或 者 使 用 日 志 或 屏幕 输出 。 
JavaScript 没有 assert() 函数 (据说 要 增加 一 个 )。 但 是 你 可 以 使 用 error 对 象 来 创建 一 个 
类 似 assert 的 函数 ， 来 提供 同 种 信息 。 在 使 用 assert() 时 ， 你 要 在 代码 中 创建 断言 ， 它 看 
起 来 会 像 下 面 这 样 。 

assert(typeof myArg === "string"); 
assert() 国 数 看 起 来 如 下 所 示 。 


function assert(condition, message) 


{ 
































if (!condition) 


message = message || "Assertion failed"; 
if (typeof Error !== "undefined") 


throw new Error(message); 


} 


else 


{ 


throw message; 
} 
} 
} 


在 这 个 例子 中 ， 当 一 个 参数 的 值 或 其 他 代码 条 件 失败 时 ， 测 试 会 抛 出 一 个 错误 。 你 可 以 选 
择 用 日 志 记录 错误 或 以 其 他 方式 处 理 它 ， 但 你 要 知道 测试 失败 了 。 测 试 条 件 对 于 任何 浏览 
器 来 说 都 不 是 问题 。 但 是 ， 你 可 能 会 发 现 不 同 的 浏览 器 会 用 不 同 的 方式 支持 error 对 象 ， 
所 以 简单 地 抛 出 消息 〈 而 不 是 重新 抛 出 error 对 象 ) 是 一 个 很 好 的 降级 处 理 。 
在 代码 中 的 元 素 会 执行 测试 ， 但 你 仍然 需要 提供 输入 。 为 了 解决 这 个 问题 ， 你 通常 需要 手 
动 测试 脚本 ， 这 通常 很 容易 出 错 ， 或 者 用 一 个 第 三 方 脚本 来 提供 所 需 的 输入 。 你 对 库 进 行 
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的 测试 会 精确 地 告诉 你 库 能 否 满 足 应 用 程序 的 需求 。 


11.2.2 ”为 API 创 建 测试 脚本 


API 支持 发 起 调用 。 测 试 API 其 至 可 以 不 用 应 用 程序 。 你 所 需要 的 就 是 一 段 发 起 调用 并 检 
查 响应 的 脚本 。 很 多 第 三 方 产品 可 以 执行 这 个 任务 ， 或 者 你 可 以 创建 一 个 简单 的 应 用 程序 
来 手动 执行 测试 。 使 用 脚本 可 以 确保 你 每 次 都 得 到 相同 的 测试 结果 ， 所 以 使 用 脚本 通常 是 
最 好 的 选择 。 你 执行 的 任何 测试 最 起 码 应 该 检查 以 下 条 件 。 















































。 范围 
正确 响应 范围 内 的 值 ， 并 且 当 值 太 高 或 太 低 时 给 出 正确 的 错误 响应 。 
。 类 型 


验证 用 户 提供 了 正确 的 输入 数据 类 型 ， 并 且 当 输入 的 数据 类 型 错误 时 给 出 正确 的 错误 
响应 。 

。 大 小 
校 验 数据 的 长 度 ， 这 样 别 人 就 不 能 发 送 一 段 脚本 来 替代 所 期 望 的 字符 串 。 


jw 和 


。 字符 
测试 输入 中 的 非法 字符 以 确保 用 户 不 能 发 送 控制 字符 或 其 他 不 正确 的 字符 。 


当 你 开始 从 应 用 程序 使 用 API 之 后 ， 需 要 执行 集成 测试 ， 这 包括 为 应 用 程序 提供 输入 ， 然 
后 要 求 应 用 程序 发 起 所 需 的 调用 。 你 可 以 再 次 使 用 脚本 工具 来 让 任务 变 得 更 简单 。 


11.2.3 将 测试 策略 扩展 到 微服 务 

与 API 一 样 ， 你 在 使 用 微服 务 时 要 依靠 茶 种 脚本 工具 来 发 起 调用 和 检查 响应 。 但 是 ， 你 需 
要 确保 微服 务 被 检查 得 很 彻底 ， 因 为 每 个 微服 务 都 代表 一 段 单独 的 代码 。 你 不 能 对 微服 务 
作出 跟 API 一 样 的 假设 。 

进行 集成 测试 的 时 候 ， 你 需要 确定 应 用 程序 的 性 能 概况 。 每 个 微服 务 都 应 该 接受 至 少 一 次 
测试 。 但 是 ， 你 计划 经 常 使 用 的 微服 务 应 该 接受 更 多 的 测试 。 这 个 策略 的 目的 是 要 验证 有 
较 高 概率 导致 问题 的 代码 ， 并 使 测试 的 成 本 保持 在 较 低 的 水 平 。 


11.2.4 开发 响应 策略 

所 有 测试 的 焦点 在 于 库 、API 或 微服 务 对 于 给 定 输入 提供 的 响应 。 除 非 代码 能 做 出 适当 的 
有 反应， 否则 应 用 程序 就 不 能 按 原 来 想象 的 那样 运行 。 更 重要 的 是 ， 黑 客 会 寻找 这 种 行为 上 
的 偏差 来 加 以 利用 。 当 定义 响应 的 时 候 ， 你 必须 考虑 两 种 响应 类 型 : 直接 的 和 模拟 的 。 接 
下 来 会 讨论 这 两 种 响应 类 型 。 

1. 依靠 直接 结果 

直接 的 响应 来 自 激 活 的 库 、API 或 微服 务 。 在 这 种 情况 下 ， 你 会 获得 针对 给 定 输 入 的 实际 
响应 。 如 果 被 测试 的 代码 是 正确 工作 的 ， 你 接收 到 的 响应 就 应 该 精确 匹配 定义 了 测试 用 例 
的 规范 文档 。 直 接 的 结果 可 以 测试 你 在 应 用 程序 中 计划 使 用 的 代码 。 
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2. 依靠 模拟 结果 

模拟 的 结果 来 自 模拟 库 、API 或 微服 务 的 mocking 软件 。 使 用 模拟 的 结果 可 以 让 你 在 库 、 
API 或 微服 务 就 绪 之 前 就 可 以 开发 应 用 程序 并 进行 测试 。 使 用 这 种 方法 可 以 市 省 时 间 并 能 
加 快 开 发 进度 。 

但 是 ， 这 里 还 有 另 一 种 考虑 。 你 还 可 以 使 用 mocking 来 测试 针对 库 的 测试 框架 或 针对 API 
的 测试 脚本 的 可 行 性 。 因 为 你 已 经 知道 对 于 给 定 的 输入 mocking 软件 将 会 提供 精确 的 响 
应 ， 所 以 你 能 够 验证 测试 软件 是 否 在 正确 地 工作 。 除 非 你 可 以 指望 测试 软件 正确 地 执行 任 
务 ， 否 则 进行 测试 不 会 有 什么 价值 。 


11.3 “执行 集成 测试 


一 旦 你 测试 了 应 用 程序 的 各 个 元 素 ， 就 可 以 开始 将 库 、API 和 微服 务 集成 到 应 用 程序 中 。 
最 简单 、 最 完整 、 最 不 复杂 的 集成 测试 方法 是 采用 分 阶段 的 方法 ， 库 、API 和 微服 务 以 有 
序 的 方式 小 规模 地 添加 进 应 用 程序 。 分 阶段 的 集成 测试 可 以 帮 你 很 快 地 定位 和 解决 问题 。 
将 应 用 程序 从 模拟 的 数据 切换 到 真实 数据 时 ， 每 次 只 迁移 一 份 可 能 一 开始 看 起 来 是 在 浪费 
时 间 ， 但 这 个 过 程 可 以 很 快 地 定位 错误 ， 最 终 会 节省 大 量 的 时 间 。 集 成 测试 的 目的 是 创建 
一 个 能 按 预期 工作 的 完整 应 用 程序 并 且 不 包含 任何 安全 漏洞 。 


你 永远 不 可 能 创建 一 个 “防弹 ”的 应 用 程序 。 每 个 应 用 程序 都 会 包含 缺陷 和 
潜在 的 安全 漏洞 。 测 试 可 以 消除 大 部 分 明显 的 问题 ,并且 你 需要 测试 (和 重 
新 测试 ) 应 用 程序 任何 一 部 分 的 每 个 更 改 点 ， 因 为 安全 漏洞 会 出 现在 很 微小 
的 地 方 。 但 是 ， 永 远 不 要 自满 地 认为 自己 已 经 发 现 了 应 用 程序 中 所 有 可 能 的 
问题 ,黑客 肯定 会 给 你 展示 不 一 样 的 结果 。 


开发 人 员 会 依赖 很 多 集成 测试 模型 。 其 中 一 些 模型 被 设计 用 于 使 应 用 程序 尽 可 能 快 地 运行 
起 来 ， 但 只 有 当 没 有 错误 发 生 时 才能 完成 任务 。 任 何 开发 软件 的 人 都 知道 出 错 在 所 难免 ， 
所 以 集成 测试 模型 只 会 导致 问题 且 不 能 让 你 完整 地 检查 安全 问题 。 为 此 ， 下 面 列 出 了 三 个 
使 用 了 分 阶段 方法 的 调试 模型 ， 它 们 可 以 比较 好 地 定位 安全 问题 。 
。 自 下 而 上 
在 这 种 情况 下 ， 开 发 团队 首先 添加 并 测试 较 低级 的 功能 。 这 个 方法 的 优点 是 ， 对 于 执行 
如 监控 这 种 任务 的 应 用 程序 来 说 ， 你 可 以 验证 你 有 一 个 稳定 的 基础 。 原 始 数 据 在 测试 阶 
段 的 早期 就 可 用 ， 这 使 得 整个 测试 过 程 更 加 真实 。 
。 自 上 而 下 
使 用 自 上 而 下 的 方法 会 首先 测试 所 有 高 级 功能 ， 接 着 测试 下 一 级 的 功能 ， 直 到 最 底层 的 
功能 。 这 个 方法 的 优点 是 你 可 以 从 一 开始 就 验证 UI 的 功能 正常 且 应 用 程序 满足 了 用 户 的 
需求 。 此 类 测试 适用 于 表现 型 的 应 用 程序 ， 它 们 的 用 户 交互 性 有 很 高 的 优先 级 。 
。 三 明治 
这 是 自 下 而 上 与 自 上 而 下 的 组 合 。 它 适用 于 那些 需要 使 用 一 些 数据 源 来 执行 大 部 分 任 
务 , 但 用 户 交 互 性 又 是 首要 考量 的 应 用 程序 。 例 如 ， 你 可 能 在 CRM 应 用 中 使 用 这 种 方 
法 以 确保 在 实现 其 他 特征 之 前 ，UI 可 以 正确 地 展示 来 自 数据 库 的 数据 。 
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11.4 测试 与 语言 相关 的 问题 


某 些 测试 套件 存在 的 一 个 很 大 的 漏洞 是 缺少 对 特定 语言 问题 的 测试 。 这 些 测试 可 以 找 出 特 
定 的 语言 在 处 理 特定 请 求 时 的 缺陷 。 语 言 可 能 可 以 按 所 设计 的 那样 准确 工作 ， 但 是 多 个 因 
素 组 合 起 来 可 能 会 产生 不 正确 或 预期 外 的 结果 。 在 某 些 情况 下 ， 基 于 语言 缺陷 发 生 的 攻击 
就 是 以 语言 设计 者 原来 没有 想到 的 方式 使 用 语言 。 

每 种 语言 都 有 缺陷 。 例 如 ， 很 多 语言 都 有 线程 安全 的 问题 。 当 在 非 多 线程 的 环境 下 使 用 
时 ， 这 些 语言 不 会 有 错误 。 但 是 当 在 某 些 情况 下 在 多 线程 环境 中 使 用 时 ， 这 些 语言 会 突 
然 出 现 问题 。 它 可 能 会 产生 不 正确 的 结果 或 只 是 以 意料 之 外 的 方式 运行 。 更 隐秘 的 缺陷 
是 语言 表面 上 在 正常 工作 ,但 却 设法 为 黑客 提供 渗透 系统 所 需 的 信息 (比如 在 线程 之 间 
传输 数据 ) 。 

接 下 来 的 几 小 苘 描述 了 最 常见 的 与 语言 相关 的 问题 ， 你 需要 在 测试 应 用 程序 时 予以 考 
虑 。 在 这 里 ， 你 可 以 找到 HTML5、CSS3 和 JavaScript 等 在 Web 应 用 程序 中 最 常 使 用 
的 语言 的 缺陷 。 但 是 如 果 你 在 自己 的 应 用 程序 中 使 用 其 他 语言 ， 那 么 还 需要 检查 那些 语 
言 的 缺陷 。 





















































许多 测试 套件 会 检查 在 给 定 特 定 输入 时 的 输出 是 否 正 确 。 此 外 ， 它 们 可 能 会 
执行 范围 检查 来 确保 应 用 程序 在 其 应 该 接受 的 值 的 范围 内 运作 正常 ， 并 且 当 
遇 到 范围 之 外 的 值 时 可 以 给 出 恰当 的 错误 反馈 。 大 部 分 测试 套件 不 检查 语言 
缺陷 的 原因 是 ， 比 起 你 测试 的 其 他 部 分 来 说 这 个 问题 主要 与 安全 相关 。 当 测 
试 与 语言 相关 的 问题 时 ， 你 真正 要 找 的 是 缺陷 对 于 应 用 程序 安全 性 的 影响 。 















































11.4.1 设计 针对 HTML 问 题 的 测试 

当 使 用 HTML 时 ， 你 需要 考虑 该 语言 提供 了 基础 的 UI， 同 时 也 为 与 用 户 相 关 的 安全 问题 
的 发 生 提供 了 途径 。 为 此 ， 你 需要 确保 用 来 展示 应 用 程序 所 管理 的 数据 的 HTML 经 过 了 测 
试 ， 以 确保 它 能 在 各 种 浏览 器 上 工作 。 为 此 ， 需 要 考虑 以 下 与 语言 相关 的 问题 。 


。 HTML 组 织 得 很 好 ， 且 不 使 用 大 部 分 浏览 器 不 支持 的 标签 或 属性 。 
。 文档 进行 了 正确 的 编码 。 

。 文档 里 的 任何 代码 要 执行 必需 的 错误 处 理 并 检查 输入 是 否 正确 。 
。 当 提 供 特定 的 输入 时 ， 文 档 的 输出 应 该 看 起 来 是 预期 的 样子 。 

。 UI 元 素 的 选择 要 降低 令 人 迷惑 并 导致 错误 输入 的 可 能 性 。 


有 很 多 可 用 于 HTML 测试 的 工具 。 其 中 两 个 比较 好 的 工具 是 Rational Functional 
Tester (http:/www-03.ibm.com/software/products/functional) 和 Selenium (http:// 
www.seleniumhq.org/)。 这 两 种 工具 都 能 自动 进行 HTML 测试 并 提供 测试 脚本 
创建 的 记录 /回放 方法 。Rational Functional Tester 是 来 自 BM 的 工具 ， 具 有 专 
业 的 测试 策略 ， 比 如 故事 墙 。 如 有 果 你 需要 手动 检查 一 项 新 技术 ， 可 以 尝试 一 下 
https://validator.w3.org/dev/tests/ 里 的 W3C 标记 验证 服务 。 这 个 网 站 提供 了 你 可 
使 用 的 HTML 版 本 测试 。 
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HTML 测试 的 一 部 分 是 确保 你 的 所 有 和 链接 正常 工作 且 你 的 HTML 组织 得 很 
好 。WebLight (http://www.illumit.com/weblight/) 等 产品 可 以 自动 检查 你 的 
链接 。 还 有 一 个 类 似 的 工具 是 LinkTiger (http:Wlinktiger.com/)。 这 两 个 产品 
都 能 检查 受 损 的 链接 ， 但 都 提供 了 你 在 测试 时 可 能 需要 用 到 的 额外 功能 ， 所 
以 最 好 先 看 看 这 两 者 的 说 明文 档 。 

















11.4.2 ”设计 针对 CSS 问 题 的 测试 

CSS 的 初衷 是 创造 一 种 格式 化 内 容 的 方法 ， 它 并 不 涉及 表格 和 其 他 技巧 的 使 用 。 这 些 技巧 
的 问题 是 没有 标准 的 方法 ， 并 且 这 些 技巧 会 让 有 特殊 需求 的 人 无 法 使 用 页 面 。 但 是 ，CSS 
已 经 不 仅 能 用 于 格式 化 了 。 人 们 发 现 了 很 多 方法 来 用 CSS 制作 特效 。 此 外 ，CSS 现在 几乎 
提供 了 一 定 级 别 的 编码 功能 。 因 此 ， 完 整地 测试 CSS 变 得 很 重要 ， 就 像 应 用 程序 的 其 他 部 
分 那样 。CSS 有 可 能 会 隐藏 安全 问题 。 为 此 ， 在 应 用 程序 的 安全 测试 中 ， 你 需要 执行 专门 
针对 CSS 的 测试 它 应 该 符合 以 下 标准 。 

。 CSS 组 织 得 很 好 。 

。 在 代码 中 没有 任何 非 标准 元 素 。 

。 特效 不 会 导致 可 访问 性 问题 。 

。 颜色 、 字 体 和 其 他 可 见 元 素 的 选择 要 考虑 到 有 特殊 需要 的 人 士 。 

。 处 理 用 户 的 特殊 需要 时 ， 可 以 使 用 替代 的 CSS 格式 。 

。 给 定 一 个 事件 或 具体 的 用 户 输入 ，CSS 要 提供 一 致 且 可 重复 的 输出 效果 。 


随 着 CSS 使 用 量 的 增加 ， 对 好 的 测试 工具 的 需求 也 在 增加 。 如 果 你 是 一 名 
Node.js 用 户 ， 一 个 比较 好 的 工具 是 CSS Lint (http://csslint.net/)， 你 可 以 使 
用 它 来 检查 代码 。 当 你 想 要 检查 外 观 时 ， 需 要 能 够 进行 屏幕 快照 比较 的 产 
品 ， 比 如 PhantomCSS (https://github.com/Huddle/PhantomCSS)。 当 网 站 的 屏 
幕 快照 以 意料 之 外 的 方式 改变 时 ，PhantomCSS 可 帮 你 辨别 改变 并 查 出 原因 。 
如 果 你 需要 手动 校 验 器 来 检查 想 使 用 的 技术 ， 可 以 使 用 网 页 https://jigsaw. 
w3.org/cssvalidator/ 上 的 W3C CSS 校 验 服务 。 

































































11.4.3 ”设计 针对 JavaScript 问 题 的 测试 
JavaScript 会 为 应 用 程序 提供 大 部 分 功能 代码 。 为 此 ， 你 要 用 与 测试 其 他 编程 语言 相同 的 
方法 来 测试 JavaScript 代码 。 你 需要 验证 对 于 一 个 给 定 的 输入 ， 你 是 否 能 得 到 一 个 特定 的 
输出 。 你 需要 考虑 将 以 下 这 些 问题 作 为 你 的 测试 套件 的 一 部 分 。 


。 确保 代码 遵循 标准 。 

。 用 全 面 的 输入 类 型 来 测试 代码 以 确保 它 能 处 理 错误 的 输入 而 不 会 崩溃。 

。 执行 异步 测试 以 确保 应 用 程序 可 以 处 理 在 不 确定 的 间隔 时 间 后 抵达 的 响应 。 

。 创建 测试 组 ， 这 样 你 就 能 使 用 示例 的 断言 代码 (或 者 测试 库 提供 的 assert() 函数 ) 来 验 
证 大 量 断言 ， 示 例 代 码 可 在 11.2.1 节 中 找到 。 测 试 组 可 以 放大 使 用 断言 进行 调试 的 效果 。 
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。 验证 代码 是 响应 灵敏 的 。 

。 检查 应 用 程序 的 行为 以 确保 一 系列 的 步骤 可 以 产生 期 望 的 结果 。 

。 模拟 失败 的 条 件 (比如 资源 缺失 ) 来 确保 应 用 程序 可 以 很 好 地 进行 降级 处 理 。 

。 执行 任何 所 需 的 测试 以 确保 代码 不 会 易于 遭受 最 近 发 生 的 黑客 攻击 ， 这 些 攻击 可 能 还 
没有 在 客户 端 系 统 中 得 到 修复 。 使 用 针对 安全 的 分 析 器 ， 比 如 VeraCode (http://www. 
veracode.com/)， 能 够 帮 你 定位 并 修复 一 些 bug， 这 些 bug 可 能 会 让 黑客 基于 最 近 发 现 
的 安全 漏洞 来 入 侵 系统 。 


















































你 所 使 用 的 测试 JavaSript 的 工具 部 分 取决 于 公司 进行 其 他 测试 所 使 用 的 工 
具 和 公司 使 用 其 他 工具 的 经 验 。 此 外 ， 你 需要 选择 一 款 能 与 应 用 程序 中 使 用 
的 其 他 产品 一 起 工作 的 工具 。 有 些 公司 使 用 QUnit (https://qunitjs.com/) 来 
测试 JavaScript， 因 为 这 个 供应 商 还 提供 了 其 他 套件 (比如 jQuery 和 jQuery 
UI)。 在 某 些 情况 下 ， 公 司 会 使 用 RhinoUnit (https://code.google.com/archive/ 
p/hinounit) 来 进行 基于 Ant 的 JavaScript 框架 测试 。 许 多 专业 开发 人 员 喜 欢 
Jasmine (http://jasmine.github.io/) 外 加 Jasmine-species (http://rudylattae.github. 
io/jasmine-species/) ， 因 为 该 测试 套件 是 行为 驱动 的 。 如 果 你 大 量 使 用 Nodejs， 
你 可 能 还 想 要 研究 一 下 Vows.js (http://vowsjs.org/) 和 kyuri (https://github.com/ 
nodejitsu/kyuri)。Node.js 开发 人 员 喜 欢 的 另 一 个 工具 是 Cucumis (https://github. 
com/noblesamurai/cucumis)， 它 能 提供 异步 测试 功能 。 








Z》 









































作为 规范 和 设计 阶段 的 一 部 分 ， 你 需要 研究 的 一 个 问题 是 现 有 测试 套件 的 可 用 性 。 侈 如 ， 
ECMAScript Language test262 网 站 (http://test262.ecmascript.org/) 可 以 为 你 的 应 用 程序 提 
供 一 些 很 棒 的 见解 。 





考虑 攻击 的 本 质 


很 重要 的 是 要 明白 很 多 攻击 看 起 来 好 像 什 么 也 没有 实现 ， 因 为 你 并 不 知道 攻击 者 想 要 
干什么 。 例 如 ， 对 传输 层 安全 (Transport Layer Security，TLS) 协议 的 攻击 ， 要 依靠 
Rivest Cipher 4 (RC4) 加 密 算 法 ， 这 可 能 看 起 来 更 像 是 某 人 在 尝试 使 系统 瘫 首 。 如 果 
尔 是 一 个 尝试 弄 清 楚 应 用 程序 正在 发 生 什么 的 开发 人 人员， 就 必须 知道 正在 发 生 的 攻击 
类 型 ， 这 就 是 你 要 确保 团队 里 有 一 名 安全 专家 的 原因 。 


在 这 种 情况 下 ， 攻 击 依赖 于 创建 带 有 诸如 cookie 等 重复 性 信息 的 请 求 。 发 送 者 会 在 每 
个 请 求 中 包含 cookie， 但 是 每 个 请 求 都 是 加 密 的 ， 这 样 信息 看 起 来 就 完全 不 一 样 了 。 
只 有 在 获取 足够 样 例 的 情况 下 才 可 能 破解 加 密 并 开始 从 受 破坏 的 浏览 器 获取 数据 。 


至 少 有 两 个 团队 已 经 攻破 了 RC4， 足 以 用 TLS 从 浏览 器 获取 数据 。 第 一 种 技术 大 约 需 
要 2000 个 小 时 ， 而 第 二 种 只 需要 75 小 时 。 很 明显 ， 除 非 获 取 的 信息 有 很 重要 的 价值 ， 
否则 该 技术 可 能 并 不 值得 一 般 的 黑客 去 使 有 用。 尽管 如 此 ， 有 这 样 的 技术 存在 就 意味 着 
你 需要 想 想 攻击 的 企图 是 什么 。 
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这 个 攻击 最 有 趣 的 部 分 是 攻击 者 要 依靠 JavaScript 来 实现 (之 前 给 开发 人 员 留 下 的 印 
象 是 只 能 用 来 写 脚本 ) 。 攻 击 者 使 用 脚本 注入 或 中 间 人 攻击 的 方式 将 代码 上 传 到 目标 浏 
览 器 。 你 可 以 在 网 页 http://www.computerworld.com/article/2948937/security/encrypted- 
web-and-wi-fi-atrisk-as-rc4-attacks-become-more-practical.html 上 获取 关于 这 种 攻击 的 更 
多 细 字 。 

要 修复 这 种 攻击 ,得 使 用 更 加 现代 的 加 密 方 法 作为 TLS 协议 的 一 部 分 。TLS 支持 大 量 
加 密 方法 ， 包 括 高 级 加 密 标 准 (Advanced Encryption Standard，AES)。 为 了 保证 你 的 
应 用 程序 是 非常 安全 的 ， 你 需要 确保 将 服务 器 配置 为 不 接受 RC4 作为 加 密 方法 ， 而 是 
要 求 更 现代 的 加 密 方式 。 
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第 12 章 


使 用 第 三 方 测试 





第 三 方 测试 涉及 使 用 外 部 实体 来 给 你 的 应 用 程序 执行 各 种 测试 ， 包 括 安 全 测试 。 第 三 方 可 

以 提供 许多 服务 ， 其 中 有 一 些 是 非常 全 面 的。 当然 ， 在 开始 进行 任何 测试 之 前 ， 你 需要 知 

道 你 二 可 DRE Wa nl 旦 测试 开始 ， 需 要 确保 第 三 方 能 接收 到 来 自 你 公司 的 适 

当 的 指令 、 有 正确 的 监控 级 别 并 提供 令 人 满意 的 输出 。 第 三 方 可 能 会 执行 类 似 你 会 执行 的 

测试 ， 而 且 你 ;要 明白 第 三 方 的 水 平 高 于 你 自己 的 公司 ， 否 则 从 一 开始 就 没 必 要 使 用 第 三 方 

测试 。 

能 想 要 依靠 ,至少 是 部 分 依靠 第 三 方 济 试 的 理由 有 很 多 。 其 中 最 常见 的 理由 是 时 间 。 
， 许 多 公司 缺乏 能 力 和 其 他 资源 来 正确 地 执行 一 次 完整 的 测试 工作 。 有 时 候 ， 公 司 会 

条 清和 三 入 米 保 证 An 训 N 并 确保 内 部 测试 人 员 不 会 遗漏 任何 东西 。 使 用 第 

三 方 供 应 商 通常 要 遵循 以 下 四 个 步 又。 

(1) 找到 你 想 使 用 的 第 三 方 测试 服务 。 

(2) 制订 测试 计划 (将 第 三 方 作为 一 项 资源 使 用 ) ， 精 确定 义 第 三 方 要 如 何 测试 软件 。 

(3) 在 与 第 三 方 签约 之 后 实施 测试 计划 。 

(4) 基于 你 从 第 三 方 收 到 的 报告 和 其 他 输出 来 验证 应 用 程序 。 


虽然 本 书 花 了 大 量 时 间 处 理 桌 面 端 、 浏 览 器 和 手机 应 用 程序 ， 但 重要 的 是 ， 
要 记 住 这 里 所 描述 的 原则 也 能 应 用 于 其 他 类 型 的 应 用 程序 ， 它 们 中 的 一 些 几 
乎 总 De 方 测试 。 例 如 ， 汽 车 制造 三 商 本 可 以 通过 聘请 第 三 方 来 确保 
测试 过 程 完整 地 测试 了 网 络 连接 的 各 个 方面 ， 成 功 避 免 最 近 发 生 的 许多 联网 
汽车 召回 本 件 (请 参阅 http:Wwww.computerworld.comyarticle/2953832/mobile- 
security/senators-call-for-investigation-of-potential-safety-security-threats-from- 
connected-cars.html)。 事 实 就 是 黑客 知道 如 何 入 侵 这 些 汽 车 ， 第 三 方 测试 
人 员 也 知道 (请 参阅 http://www.computerworld.com/article/2954668/telematics/ 
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hacker-shows-he-can-locate-unlock-and-remote-start- gm-vehicles.html) 
第 三 方 测 试 商 还 可 以 检查 看 起 来 怪异 的 攻击 类 型 ,这些 攻击 可 能 在 未 来 变 
得 非常 普遍 (请 参阅 http://www.computerworld.com/article/2954582/security/ 























researchers-develop-astonishing-webbased-attack-on-a-computers-dram.html) 。 
虽然 诸如 rowhammering 漏洞 这 样 的 技术 在 今天 听 起 来 很 牵强 ， 但 可 以 肯定 
黑客 明天 就 会 利用 它们 ， 而 一 家 熟练 的 第 三 方 测 试 商 可 以 确保 你 的 软件 不 易 
遭受 这 种 攻击 。 











12.1 找到 第 三 方 测试 服务 


你 无 法 在 电话 往 里 通过 “T” 字 头 的 记录 来 找 出 测试 商 的 列表 。 如 有 果 你 能 轻易 地 在 黄页 里 
查找 到 感 兴趣 的 第 三 方 并 且 知 道 他 们 能 够 很 好 地 测试 你 的 应 用 程序 ， 那 真是 大好 了 。 遗 憾 
的 是 ， 寻 找 第 三 方 测试 商 需要 你 做 大 量 的 搜索 ， 并 且 要 确保 你 能 验证 这 个 第 三 方 能 够 完成 
你 交付 的 工作 。 接 下 来 的 儿 小 市 会 帮 你 理解 与 查找 第 三 方 测 试 商 相关 的 问题 ， 并 且 会 描述 
如 何 确 保 第 三 方 测试 商会 把 你 的 最 大 利益 放 在 心 上 。 


12.1.1 定义 聘请 第 三 方 的 理由 
你 可 以 有 很 多 理由 聘请 第 三 方 为 你 进行 应 用 程序 的 测试 。 这 些 理由 会 由 于 公司 、 应 用 类 型 
和 应 用 程序 解决 的 问题 领域 的 不 同 而 不 同 。 在 你 聘请 某 个 第 三 方 进行 测试 之 前 ， 很 重要 的 
是 知道 你 聘请 他 们 的 原因 。 如 果 你 没有 这 个 关键 的 信息 ， 那 么 测试 工作 从 一 开始 就 注定 要 
失败 ， 因 为 你 对 测试 过 程 有 着 未 言明 的 和 可 能 不 切实 际 的 期 望 。 总 之 ， 因 为 你 一 开始 就 不 
知道 自己 的 期 望 ， 所 以 也 无 法 知道 测试 是 否 会 成 功 。 为 此 ， 最 常见 的 聘请 第 三 方 的 理由 包 
括 以 下 这 些 。 
。 质量 
雇用 专业 的 测试 人 员 可 以 提高 软件 质量 ， 因 为 专业 的 测试 公司 会 知道 你 的 问题 领域 中 所 
有 最 新 的 测试 技术 。 这 些 测 试 人 员 每 天 都 会 执行 测试 ， 所 以 他 们 知道 软件 在 使 用 某 一 县 
体 的 编程 语言 、 操 作 系 统 、 平 台 和 解决 特定 用 户 需求 时 通常 会 出 现 的 bug 和 问题 。 你 在 
测试 过 程 中 接收 的 报告 很 可 能 也 要 好 于 自己 公司 输出 的 任何 报告 ， 因 为 这 些 测 试 人 员 每 
天 都 要 填写 这 种 类 型 的 报告 。 
。 成 本 
比 起 兼职 的 人 员 来 说 ， 专 业 的 测试 商 可 以 更 快 且 更 加 准确 地 执行 测试 任务 。 这 些 测试 人 
员 不 会 对 你 的 应 用 程序 进行 无 用 的 测试 ， 这 个 问题 在 公司 里 很 常见 ( 既 浪 费时 间 又 浪费 
金钱 )。 此 外 ， 也 可 以 将 测试 外 包 到 世界 上 的 某 个 地 方 ， 在 那里 聘请 他 人 做 测试 的 开支 
要 远 远 小 于 你 所 在 的 地 方 。 
。 培训 
许多 公司 没有 考虑 到 的 一 项 隐 性 成 本 是 培训 团队 执行 测试 任务 所 需 的 时 间 和 开支 。 就 算 
团队 成 员 是 兼职 执行 该 任务 ， 他 们 也 没有 专业 测试 者 的 经 验 ， 并 且 在 面 对 每 种 新 的 应 用 
程序 时 可 能 需要 额外 的 培训 。 唯 一 值得 拥有 真正 的 测试 团队 的 情况 是 ， 你 的 公司 编写 了 
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足够 多 的 软件 来 让 这 个 团队 一 直 从 事 测试 工作 。 


。 时 间 
搭建 测试 实验 室 ， 培 训 测试 人 员 并 等 待 他 们 成 为 熟练 的 测试 人 员 ， 这 需要 花费 对 于 许多 
公司 来 说 不 能 接受 的 时 间 。 为 了 使 产品 准时 上 市 ， 需 要 在 编码 阶段 就 使 用 尽 可 能 高 效 的 
技术 ， 在 尽 可 能 接近 生产 环境 的 系统 中 进行 测试 ， 且 将 相关 报告 反馈 给 开发 人 员 以 便 尽 
快 定位 和 修复 问题 。 

。 专业 技能 
你 的 公司 可 能 最 近 对 平台 、 设 备 或 其 他 一 些 资源 进行 了 更 新 ， 而 这 些 更 新 需要 新 一 轮 的 
测试 。 应 用 程序 或 相关 的 服务 没有 更 改 ， 但 它们 运行 的 环境 有 变化 。 如 果 你 发 现 更 新 给 
你 当前 的 测试 团队 带 来 了 问题 ， 那 么 可 能 需要 第 三 方 来 帮助 发 现 这 些 改变 对 于 软件 来 
说 意味 着 什么 并 建立 新 的 检查 机 制 。 第 三 方 还 能 提供 许多 所 需 的 培训 。 


12.1.2 考虑 测试 服务 的 范围 

聘用 第 三 方 测试 商 的 核心 优势 是 能 够 确保 从 所 提供 的 服务 中 获得 充分 的 价值 。 但 是 ， 世 界 
上 最 好 的 测试 服务 也 无 法 知道 每 一 种 可 能 的 测试 的 所 有 信息 。 你 需要 精确 定义 想 要 完成 哪 
种 类 型 的 测试 ， 然 后 依 此 选择 测试 公司 。 第 一 步 ， 你 需要 定义 环境 ， 包 括 以 下 儿 项 。 

。 平台 

。 操作 系统 

。 编程 语言 

。 问题 领域 



























































不 是 每 一 个 测试 公司 都 能 执行 每 一 种 测试 。 一 旦 确定 了 环境 因素 ， 你 就 需要 考虑 所 需 的 测 
试 类 型 。 为 了 获得 最 佳 的 结果 ， 很 重要 的 是 第 三 方 测试 商 要 提供 执行 你 需要 的 所 有 测试 的 
设施 。 以 下 是 一 些 最 普遍 的 测试 类 型 。 

。 安全 性 测试 

。 功能 测试 

。 自动 化 测试 

。 性 能 调试 

。 集成 测试 





现在 有 很 多 各 种 级 别 的 测试 类 型 。 你 可 以 在 网 页 http://www.softwaretestinghelp. 
com/types-of-software-testing/、http://www.aptest.com/testtypes.html 和 http://www:. 
testingexcellence.com/types-of-software-testingcomplete-list/ 上 找到 更 长 的 测试 类 
型 清单 。 但 是 ， 这 些 清单 也 不 是 完整 的 。 记 住 ， 当 你 拥有 软件 时 你 还 需要 考 
虑 静态 和 动态 测试 技术 ， 而 这 两 种 测试 都 可 以 请 第 三 方 测试 商 来 做 。 





























有 些 测试 公司 只 提供 一 个 服务 ， 那 就 是 测试 。 但 是 ， 为 了 使 开发 任务 成 功 ， 你 可 能 需要 其 
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他 服务 。 一 个 提供 全 面 服务 的 公司 通常 比 只 提供 测试 的 公司 收取 多 得 多 的 费用 。 服 务 的 数 


上 
里 











不 一 定 会 影响 一 亏 总 额 , 但 有 可 能 会 影响 ， 所 以 你 需要 只 选择 那些 你 真正 需要 的 服务 。 





以 下 列 出 了 一 些 常 见 的 附加 服务 。 


开发 人 员 辅 导 

在 某 些 情况 下 ,测试 可 能 会 出 现 开发 人 员 根 本 没 遇 到 过 的 问题 。 开 发 人 员 辅 导 可 以 帮 团 
队 更 快 地 定位 和 解决 问题 。 此 外 ， 它 还 提供 了 专门 针对 应 用 程序 的 培训 ， 这 意味 着 开发 
人 员 所 学 到 的 信息 是 仅 与 公司 相关 的 〈 这 提升 了 它 的 价值 )。 

程序 管理 

你 可 能 需要 获得 一 些 帮 助 来 管理 测试 工作 。 正 如 开发 团队 可 能 缺乏 测试 经 验 ， 管 理 团 
队 可 能 缺乏 管理 产品 生命 周期 某 些 方面 的 经 验 。 有 些 测试 公司 可 以 帮 你 的 公司 解决 这 


个 问题 。 


在 线 学 习 

整个 公司 可 能 需要 一 些 培训 来 让 应 用 程序 工作 得 更 好 。 例 如 ， 许 多 用 户 不 了 解 安全 方面 
的 问题 ， 所 以 他 们 会 犯 导致 安全 漏洞 的 错误 。 在 线 学 习 模块 的 使 用 可 以 帮 用 户 在 想 要 并 
且 可 以 完成 培训 的 时 候 ， 学 到 成 功 使 用 应 用 程序 所 需 的 技能 。 



























































考虑 对 应 用 程序 进行 安全 测试 时 的 细节 也 是 很 重要 的 。 第 三 方 测试 商 可 能 会 提供 某 些 类 型 
的 安全 测试 ， 但 其 他 类 型 的 则 不 会 提供 。 此 外 ， 你 需要 知道 第 三 方 应 该 提供 什么 。 以 下 是 

















些 值得 考虑 的 事项 。 


环境 

你 需要 定义 测试 是 针对 预备 环境 的 还 是 针对 生产 环境 的 。 预 备 环境 测试 最 适合 应 用 程序 
开发 的 早期 阶段 。 生 产 环境 测试 最 适合 最 终 的 开发 阶段 和 应 用 程序 被 首次 发 布 到 生产 环 
境 时 。 

测试 级 别 

有 些 测试 商会 进行 基本 的 测试 以 确保 应 用 程序 的 安全 风险 较 低 。 但 是 ， 这 个 基本 测试 可 
能 不 会 提供 足够 的 信息 来 修复 应 用 程序 包含 的 问题 。 你 可 能 希望 测试 能 用 示例 代码 提供 
对 漏洞 的 充分 证 明 ， 这 样 你 就 能 精准 地 发 现 黑客 是 如 何 工作 的 ， 从 而 可 以 进行 更 好 的 修 
复 。( 第 三 方 有 时 候 也 会 帮忙 对 你 的 应 用 程序 进行 一 些 问题 鉴别 。) 


资源 的 使 用 

测试 要 使 用 系统 资源 。 为 了 防止 在 测试 期 间 出 现 应 用 程序 功能 或 可 用 性 的 损失 ， 你 需要 
指明 资源 使 用 规则 。 第 三 方 测试 商 可 以 配置 测试 工具 来 遵循 你 设置 的 指导 原则 。 此 外 ， 
请 确保 结合 时 间 指 定 资源 的 使 用 规则 。 例 如 ， 你 可 能 想 让 第 三 方 测试 商 在 晚上 或 周末 进 
行 测试 ， 此 时 测试 系统 的 使 用 量 较 小 ， 而 你 可 以 放宽 某 些 资源 使 用 规则 。 

测试 停止 的 条 件 

你 肯定 不 希望 安全 测试 导致 数据 泄露 或 其 他 安全 问题 。 在 某 些 情 况 下 ， 安 全 测试 确实 可 
能 会 导致 安全 问题 。 定 义 停止 条 件 有 助 于 防止 测试 场景 变 成 你 需要 进行 数据 修复 或 公开 
声明 发 生 数据 泄露 的 条 件 。 
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12.1.3 ”确保 第 三 方 是 合法 的 

任何 人 都 可 以 对 你 说 他 们 的 公司 可 以 及 时 提供 优越 的 测试 服务 ， 并 且 费 用 最 低 。 这 并 不 意味 
着 他 们 真 的 能 兑现 承诺 。 这 可 能 只 意味 着 他 们 有 一 名 优秀 的 市 场 人 员 ， 可 以 写 出 高 于 一 般 水 
平 的 宣传 材料 ， 但 是 没有 一 项 会 真正 得 到 实现 。 一 个 糟糕 的 第 三 方 测试 商会 让 你 损失 惨重 ， 
它 可 以 导致 你 的 竞争 对 手 率 先 交 付 产品 ， 导 致 数据 泄露 ， 从 而 使 客户 流失 或 使 得 公司 员工 无 
法 工作 。 因 此 ， 确 保 供应 商 真 正 能 兑现 承诺 是 寻找 供应 商 的 关键 。 


安全 测试 是 你 真 的 不 想 冒 险 的 几 个 领域 之 一 ， 所 以 要 确保 你 聘请 的 第 三 方 有 所 有 必需 的 认 
证 。 美 国 软件 测试 资格 委员 会 (American Software Testing Qualifications Board，ASTQB ，http:/ 
www.astqb.org/) 是 查找 第 三 方 所 需 认 证 的 一 个 好 地 方 。 另 一 个 可 以 查找 的 地 方 是 国际 软 
件 认 证 委员 会 (International Software Certifications Board，http:Wwww.softwarecertifications， 
org/) 。 无 论 你 选择 哪个 组 织 ， 都 要 确保 你 聘请 的 公司 拥有 有 具备 适当 认证 的 测试 人 员 。 此 
外 ， 你 要 得 到 书面 的 保证 ， 只 有 经 过 认证 的 测试 人 员 会 在 你 的 项 目 中 工作 (否则 该 公司 可 
能 会 用 不 符合 标准 的 人 员 顶 替 ， 这 些 人 只 是 受 经 过 认证 的 人 员 的 监督 ) 。 


考察 供应 商 的 稳定 性 也 是 值得 的 。 年 度 报告 会 告诉 你 许多 关于 公司 健康 状况 的 信息 ， 也 会 
告诉 你 公司 是 否 能 成 功 地 完成 任务 。 成 功 的 公司 会 为 你 的 应 用 程序 带 来 更 好 的 测试 ， 而 你 
希望 获得 最 好 的 结果 。 你 还 应 该 深 挖 这 些 公司 的 统计 信息 (如 人 员 流 动 ， 这 表明 了 职员 的 
开心 程度 )， 并 要 确定 公司 是 否 有 过 人 负面 报道 。 


查看 这 些 公司 之 前 顾客 的 评论 也 是 有 帮助 的 。 但 是 ， 重 要 的 是 要 记 住 评论 只 是 意见 且 客 户 
有 时 候 是 带 着 非常 大 的 偏见 的 。 此 外 ， 一 家 公司 可 能 会 找 人 发 布 言 过 其 实 的 正面 评价 。 可 
能 的 情况 下 ， 请 检查 评论 并 确认 客户 真 的 请 这 家 公司 提供 过 服务 。 联 系 相关 客户 ， 了 解 该 
公司 完成 了 什么 类 型 的 测试 (当然 ， 是 在 可 能 的 情况 下 )。 


12.1.4 面试 第 三 方 


此 时 ， 你 已 经 知道 自己 为 什么 需要 第 三 方 的 帮助 ， 你 也 已 经 找到 了 能 提供 所 需 服务 的 公 
司 ， 并 且 该 公司 是 符合 标准 的 。 接 下 来 就 要 和 该 公司 的 人 讨论 一 下 ， 确 定 你 是 否 能 与 他 们 
建立 合作 关系 。 这 并 不 像 是 一 场 为 自己 公司 招聘 职员 的 面试 ， 事 实 上 ， 你 是 在 聘请 整个 公 
司 来 为 你 的 应 用 程序 进行 测试 以 确保 它 是 安全 的 。 这 意味 着 要 让 公司 里 的 所 有 利益 相关 者 
参与 其 中 并 确定 这 项 工作 的 最 佳 候选 人 。 这 些 利益 相关 者 当然 包括 管理 层 ， 但 是 也 包括 开 
发 人 员 、 培 训 人 员 、 用 户 和 任何 受 应 用 程序 影响 的 人 。 你 需要 回答 的 问题 是 你 正在 聘请 的 
公司 是 否 真 的 能 完成 所 要 求 级 别 的 测试 以 获得 一 个 可 用 的 应 用 程序 。 如 果 你 需要 其 他 服 
务 ， 那 么 你 还 需要 问 问 该 公司 能 否 提供 你 期 望 的 支持 〈 如 果 该 公司 提供 培训 支持 ， 用 户 就 
能 马上 变 得 熟练 )。 


12.1.5 “对 测试 的 搭建 进行 测试 
在 合同 上 签字 之 前 ， 要 确保 你 知道 你 聘用 的 公司 可 以 完成 工作 。 如 果 可 能 ， 让 该 公司 提供 


某 种 有 限 的 示 范 ， 证 明 他 们 可 以 完成 一 项 普通 的 测试 流程 。 你 应 该 能 够 看 到 一 些 演练 或 一 
些 其 他 的 证 据 ， 表 明 该 公司 确实 能 完成 工作 。 否 则 ， 很 难 知道 你 得 到 的 会 是 什么 ， 直 到 事 
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情 变 得 无 可 挽回 。 让 这 些 公司 展示 一 下 其 熟练 度 通 常 是 一 个 好 主意 ， 即 使 只 是 对 它们 计划 
采用 的 测试 过 程 的 预演 。 


12.2 创建 测试 计划 


如 果 没 有 测试 计划 ， 是 不 可 能 测试 任何 软件 的 。 你 在 之 前 的 章节 中 也 看 到 了 这 个 要 求 。 但 
是 ， 当 聘请 第 三 方 时 ， 创 建 一 个 普通 的 计划 不 会 有 太 大 效果 。 你 的 测试 计划 需要 说 明 你 期 
望 第 三 方 测试 商 做 什么 。 这 个 文档 需要 把 你 公司 的 工作 和 测试 商 的 工作 区 分 开 。 此 外 ， 这 
个 计划 必须 考虑 在 这 些 条 件 下 ,什么 是 成 功 的 测试 。 你 不 必 担 心 应 用 程序 的 失败 状态 ， 而 
需要 考虑 公司 与 第 三 方 测试 商 之 间 的 合作 是 否 能 满足 特定 的 目标 ， 以 确保 应 用 程序 是 相当 
安全 的 。 接 下 来 会 描述 如 何 创建 一 个 测试 计划 。 


12.2.1 指明 第 三 方 在 测试 中 的 目的 

第 9 章 讨 论 了 在 应 用 程序 测试 中 定义 目的 的 需要 。 第 11 章 进 一 步 强调 了 定义 目的 的 必要 
性 并 具体 描述 了 目的 。 但 是 ， 这 些 是 对 应 用 程序 作为 一 个 整体 和 公司 作为 一 个 整体 的 目 
的 。 第 三 方 测试 商 是 在 测试 过 程 中 的 合作 伙伴 ， 这 意味 着 其 只 参与 测试 过 程 中 的 一 部 分 。 
第 三 方 测试 商 的 目的 与 你 类 似 ， 测 试 仍然 必须 反映 特定 的 原则 ， 但 是 ， 目 的 现在 还 包括 请 
晰 地 交流 所 有 的 测试 标准 和 方法 。 此 外 ， 你 必须 提供 包含 公司 管理 层 策略 相关 概念 的 目标 。 
因此 ， 第 9 章 和 第 10 章 描 述 的 目的 是 一 个 好 的 开端 ， 但 现在 你 必须 增强 它们 ， 以 确保 第 三 
方 确切 地 明白 他 们 需要 做 什么 且 知 道 如 何 响应 报告 信息 的 要 求 。 


12.2.2 创建 书面 的 测试 计划 
你 通常 需要 创建 一 个 书面 的 测试 计划 。 但 是 ， 当 聘用 第 三 方 测试 商 时 ， 你 必须 仔细 检查 这 
个 书面 测试 计划 以 确保 第 三 方 测试 的 作用 是 清晰 的 ， 并 且 第 三 方 完全 理解 了 所 有 的 测试 需 
求 。 如 果 有 存在 问题 的 地 方 ， 第 三 方 测试 商 应 该 可 以 提供 反 和 贵 来 帮忙 证 清 测 试 需求 。 事 实 
上 ， 这 个 反馈 作为 对 未 来 测试 计划 的 培训 是 非常 宝贵 的 。 第 三 方 测 试 商 应 该 可 以 帮 你 制订 
一 个 完全 遵循 行业 最 佳 实践 的 测试 计划 ， 并 帮 你 从 测试 过 程 中 获得 精准 的 结果 。 


作为 测试 计划 的 一 部 分 ， 你 需要 用 第 三 方 测试 商 的 服务 清单 作为 输入 来 列 出 要 进行 的 测 
试 。 换 言 之 ， 测 试 计划 应 该 清楚 地 声明 测试 过 程 中 包含 第 三 方 测试 商 的 哪些 服务 ， 这 样 一 
旦 测试 开始 就 不 会 有 模糊 地 带 存在 。 确保 你 精确 地 理解 要 执行 哪些 测试 以 及 为 什么 它们 对 
于 确保 应 用 程序 按 预期 工作 是 必需 的 。 第 三 方 测试 商 必需 能 够 清楚 地 表达 测试 和 其 他 服务 
的 需求 。 否 则 ， 和 测试 过 程 可 能 会 由 于 缺乏 沟通 而 失败 。 


很 重要 的 是 ， 要 在 初始 阶段 与 第 三 方 测试 商 建立 信任 关系 。 当 然 ， 信 任 来 自 
os 

三 方 测试 商 是 否 符合 标准 是 一 个 好 的 开端 ， 但 是 请 确保 专家 已 经 就 位 以 监 
首 任 全 这 些 任 务 指明 测试 过 程 应 该 如 进行 。 仅 当 你 知道 第 三 方 测试 商 真 的 
理解 你 〈 并 且 不 会 企图 以 某 种 方式 欺骗 你 ) 时 ， 从 第 三 方 测试 商 那 里 获得 的 
输入 才 是 有 用 的 。 
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12.2.3” 枚 举 测试 输出 和 报告 的 要 求 

测试 计划 中 必须 精确 地 描述 期 望 输出 。 此 外 ， 测 试 计划 必须 详细 描述 当 测 试 失败 时 要 做 什 
么 ， 这 样 响应 就 会 是 有 条 理 的 ， 且 在 测试 过 程 开 始 之 前 就 已 考虑 好 。 第 三 方 测 试 商 通常 会 
帮忙 提供 关于 期 望 输出 的 额外 信息 ， 并 且 可 能 会 提供 额外 的 测试 类 型 ， 这 样 你 能 验证 应 用 
程序 对 于 最 新 的 威胁 是 否 是 安全 的 。 你 的 员工 不 太 可 能 知道 所 有 潜在 威胁 ， 所 以 第 三 方 测 
试 商 的 一 部 分 工作 是 确保 你 除了 已 知道 的 安全 问题 之 外 ， 还 能 够 测试 你 所 不 知道 的 安全 问 
题 。 测 试 计划 应 该 包含 对 于 每 一 项 测试 的 详细 输出 。 

当 测 试 周 期 完成 或 革 些 其 他 事件 发 生 时 ， 测 试 计划 应 该 指明 某 些 类 型 的 书面 报告 。 这 个 报 
告 不 需要 呈现 在 纸 上 ， 只 需要 是 一 种 持久 性 的 形式 ， 让 每 一 个 人 都 能 够 根据 需要 检查 和 学 
习 。 这 些 报 告 通常 与 测试 或 其 他 重要 的 事件 关联 ， 而 测试 计划 应 该 详细 精确 地 摘 述 哪些 测 
试 要 输出 哪些 具体 报告 。 


确保 你 能 从 第 三 方 测试 商 那里 得 到 报告 样 例 的 副本 。 确 保 你 能 理解 这 些 报告 
的 内 容 。 在 许多 情况 下 ， 第 三 方 测 试 商 可 以 改变 报告 来 更 好 地 应 对 你 所 在 公 
司 的 测试 类 型 。 此 外 ， 你 可 能 需要 特定 格式 的 报告 来 满足 监管 或 法 律 的 要 
求 ， 所 以 要 确保 第 三 方 测试 商 了 解 这 些 需求 并 能 提供 所 需 格 式 的 报告 。 



































12.2.4 考虑 测试 需求 

测试 不 仅仅 是 在 特定 环境 下 进行 的 简单 输入 和 和 输出。 作为 测试 计划 的 一 部 分 ， 你 必须 芳 虑 
测试 公司 如 何 进 行 测 试 。 在 某 些 情况 下 这 会 成 为 一 个 关键 点 。 例 如 ， 你 可 能 只 有 美国 一 个 
市 场 。 如 果 测 试 公司 是 在 香港 ， 他 们 习惯 于 讲 英 式 英语 。 虽 然 区 别 很 小 ， 但 在 某 些 情况 下 
足以 使 测试 变 得 无 用 。 考 虑 解析 那些 在 两 种 英语 格式 中 有 轻微 变化 的 词语 ， 比 如 color 和 
colour。 你 的 代码 可 能 不 会 正确 地 解析 colour。 反 之 亦 然 。 测 试 公司 需要 支持 所 有 你 想 要 支 
持 的 语言 。 

从 各 种 角度 考虑 你 要 如 何 测 试 一 个 应 用 程序 是 很 重要 的 。 例 如 ， 如 果 应 用 程序 是 设计 用 来 
满足 特定 的 健康 需求 的 ， 而 测试 公司 不 够 重视 可 访问 性 测试 ， 那 么 应 用 程序 可 能 会 提供 所 
有 的 东西 ， 但 最 关键 的 可 访问 性 却 没 有 。 如 果 用 户 不 能 与 应 用 程序 交互 ， 那 么 其 是 否 安全 
就 没有 意义 了 。 

制订 测试 计划 的 这 一 部 分 是 特别 困难 的 ， 因 为 你 已 经 培训 过 公司 的 所 有 测试 人 员 去 寻找 应 
用 程序 的 特殊 需求 。 你 很 容易 会 假设 测试 公司 会 基于 你 已 经 做 的 事情 去 看 待 测试 。 关 键 在 
于 在 测试 时 不 要 做 任何 假设 ， 而 要 把 所 有 东西 都 写 下 来 。 


12.3 ”实施 测试 计划 


一 旦 你 有 了 一 份 测 试 计划 ， 就 需要 考虑 如 何 实施 它 。 拥 有 目标 是 一 个 好 的 开始 ， 但 是 提供 
一 个 过 程 来 达到 这 些 目标 是 成 功 完成 测试 所 必需 的 。 当 实施 测试 计划 的 时 候 ， 你 必须 考虑 
执行 监控 的 需要 。 这 不 是 一 种 笑 探 ， 而 是 一 种 指导 一 一 为 了 帮助 第 三 方 按 你 期 望 的 方式 进 
行 测 试 ， 你 必须 提供 必需 的 方向 性 指导 。 实 施 计 划 的 行为 也 会 导致 意 想不到 的 问题 。 你 需 
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要 一 些 处 理 这 些 问 题 的 程序 ， 否 则 测试 可 能 会 慢 到 停 下 来 。 接 下 来 描述 实施 一 个 测试 计划 
所 需要 的 技术 。 


12.3.1 确定 公司 参与 测试 的 程度 

让 公司 参与 到 测试 过 程 中 来 是 很 重要 的 。 否 则 ， 你 不 能 确保 测试 公司 在 正确 地 执行 任务 。 
日 是 ， 监 控 测 试 过 程 与 实际 参与 有 很 大 的 差别 。 你 甚至 可 能 会 把 测试 过 程 分 解 为 几 个 功能 
区 域 : 公司 可 以 执行 测试 的 功能 区 域 和 测试 公司 擅长 的 功能 区 域 。 测 试 计划 应 该 明确 地 说 
明 每 个 实体 的 参与 程度 。 


实施 测试 计划 通常 表明 写 在 纸 上 的 最 佳 计划 仍然 缺乏 实际 的 用 处 。 你 可 能 会 发 现 测 试 计划 
没有 包含 实际 参与 的 每 个 领域 (事后 要 让 这 些 领 域 分 解 )， 或 者 没有 考虑 到 以 特定 方式 进 
行 测试 的 逻辑 。 测 试 计划 可 能 没有 充分 定义 所 需 的 交流 级 别 ， 或 者 你 可 能 发 现 交 流 过 程 是 
朵 谈 式 的， 浪费 时 间 。 进 行 一 次 测试 过 程 的 预演 通常 能 告诉 你 相关 的 问题 。 


12.3.2 ”开始 测试 过 程 

在 计划 和 预演 之 后 ， 就 要 开始 测试 过 程 了 。 你 可 能 以 为 第 一 天 会 很 顺利 ， 但 你 会 失望 的 。 
明智 的 做 法 是 假设 在 测试 过 程 中 会 出 现 一 些 问题 而 你 需要 率先 处 理 它 们 。 这 对 于 开发 者 来 
说 意味 着 要 尽 可 能 快 地 与 测试 公司 沟通 源 代 三文 件 缺失 等 问题 。 你 还 可 能 发 现 测试 公 司 无 
法 访问 运行 应 用 程序 所 需 的 在 线 资源 ， 比 如 库 、API 和 微服 务 。 最 佳 的 做 法 是 把 测试 的 头 
几 天 空 出 来 用 于 解决 系统 问题 ， 这 样 ， 紧 急 启 动 测 试 就 不 会 使 你 面临 的 问题 更 加 复杂 。 
根据 应 用 程序 配置 、 目 标 和 资源 ， 你 还 应 该 计划 解决 一 些 安全 问题 。 测 试 公司 可 能 无 法 访 
问 付费 的 在 线 资源 ， 或 者 你 可 能 要 为 公司 拥有 的 资源 提供 额外 的 权限 。 最 低 限 度 是 要 确保 
让 所 有 需要 的 人 员 在 测试 的 前 几 天 都 到 位 ， 使 应 用 程序 可 以 正常 工作 。 例 如 ， 如 果 应 用 程 
序 需要 访问 数据 库 ， 请 确保 有 一 位 DBA 可 以 帮忙 提供 所 需 的 访问 级 别 。 协 调 工作 最 好 交 
给 开发 运营 ， 如 果 公 司 有 负责 这 个 任务 的 人 员 。 不 要 忘记 包含 必要 的 管理 层 人 员 。 


永远 不 要 让 测试 公司 随意 访问 公司 资源 。 测 试 公司 应 该 只 获得 可 以 使 应 用 程 
序 运行 所 需 的 最 小 资源 。 此 外 ， 你 应 该 为 这 些 资 源 提供 最 低 的 权限 。 如 果 测 
试 人 员 没 有 要 求 管理 员 级 别 的 访问 权限 ， 那 么 你 就 应 该 将 访问 限制 在 合适 的 
用 户 级 别 上 。 限 制 访问 的 主要 理由 是 保护 你 的 资产。 但是， 就算 测试 公司 是 
完全 值得 信赖 的 ， 让 测试 人 员 在 检查 应 用 程序 时 使 用 与 其 他 每 个 人 相同 的 权 
限 也 是 很 重要 的 (在 安全 测试 时 一 个 特别 重要 的 要 素 )。 






















































































12.3.3 ”执行 必需 的 测试 监控 


监控 测试 公司 是 确保 测试 按 计划 进行 的 关键 。 你 需要 确保 测试 公司 执行 了 所 有 需要 的 测 
试 (而 不 是 简单 地 签字 )， 并 且 没 有 执行 任何 未 授权 (并 且 可 能 需要 收费 ) 的 测试 。 在 测 
试 期 间 监 控 资 源 也 是 值得 的 。 例 如 ，DBA 应 该 确保 测试 过 程 不 会 破坏 任何 数据 库 数 据 ， 
即使 数据 是 专门 用 于 测试 目的 的 。 有 些 应 用 程序 的 故障 不 会 立刻 显现 ， 除 非 你 执行 了 必 


需 的 监控 。 
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12.3.4 ”处 理 意 外 的 测试 问题 
测试 是 一 个 对 抗 的 过 程 。 和 毕竟， 你 正在 试图 迫使 应 用 程序 失败 。 任 何 对 抗 的 过 程 都 会 在 某 
些 时 候 产 生意 外 的 结果 。 你 可 以 花 尽 可 能 多 的 时 间 来 陈 诉 一 个 给 定 的 输入 应 该 产生 一 个 特 
定 的 输出 ， 但 是 这 和 句 话 的 重点 在 “应 该 ”这 个 词 。 你 要 进行 测试 的 理由 就 在 于 要 找 出 结果 
与 你 的 预期 不 一 样 的 时 刻 。 


当然 ， 测 试 人 员 会 使 用 你 拥有 的 任何 报告 bug 的 系统 来 处 理 大 部 分 意外 结果 。 但 是 有 一 些 
意外 的 结果 来 自 外 部 因素 ， 比 如 团队 人 员 之 间 的 错误 沟通 。 在 这 种 情况 下 ， 将 问题 当 作 bug 
报告 并 不 会 有 什么 帮助 ， 因 为 问题 不 是 来 自 应 用 程序 内 部 ， 而 是 外 部 因素 作用 于 应 用 程序 
或 测试 过 程 的 结果 。 为 了 处 理 这 种 测试 问题 ， 你 需要 一 个 bug 报告 系统 之 外 的 工作 流程 。 
处 理 这 种 问题 的 一 种 常见 方式 是 举行 一 次 临时 会 议 。 问 题 在 于 会 议会 变 得 不 聚焦 ， 难 以 排 
期 ， 并 且 可 能 不 会 产生 任何 有 用 的 结果 ， 因 为 利益 相关 者 需要 时 间 去 研究 问题 。 有 些 公司 
依赖 内 部 论坛 或 wiki 来 处 理 这 类 问题 。 事 实 上 ， 有 些 产品 可 以 不 同方 式 来 解决 这 个 问题 。 
你 可 以 在 网 页 https://blog.profitbricks.com/top-25-collaboration-tools-for-developers/ 上 看 到 25 
个 常用 的 开发 者 协作 工具 。 


12.4 ”使 用 结果 报告 


第 三 方 测试 商 可 能 简单 地 告诉 你 你 的 软件 相当 了 不 起 ， 并 且 可 以 完整 无 瑕 地 工作 ， 这 在 开 
发 者 社区 是 很 少见 的 。 但 是 ， 口 头 报告 不 会 为 你 提供 后 面 进行 分 析 的 方法 ， 或 者 创建 计划 
以 修复 第 三 方 测试 商 发 现 的 问题 的 方法 。 你 需要 各 种 报告 来 向 公司 的 不 同 成 员 展 示 结 果 。 
这 其 中 的 许多 成 员 没 有 编程 技能 ， 所 以 你 需要 一 些 报告 来 简化 事情 ， 还 需要 一 些 报 告 来 提 
供 详细 的 分 析 以 便 进 行 修复 操作 。 接 下 来 的 几 小 节 描 述 了 如 何 利 用 报告 ， 以 有 效 方式 使 用 
第 三 方 测试 结果 。 


12.4.1 与 第 三 方 讨论 报告 输出 

在 测试 阶段 描述 应 用 程序 性 能 的 报告 会 发 生变 化 ， 而 涉及 的 各 方 也 会 发 生变 化 。 例 如 ， 现 
在 大 部 分 应 用 程序 依赖 第 三 方 库 、API 和 微服 务 。 你 可 以 选择 将 这 些 第 三 方 元 素 的 问题 报 
告 给 开发 它们 的 供应 商 ， 作 为 使 应 用 程序 工作 得 更 好 的 一 个 方法 。 当 然 ， 你 不 希望 将 完整 
的 报告 (包括 关于 你 个 人 代码 的 报告 ) 分 享 给 这 些 第 三 方 供 应 商 。 第 三 方 测试 商 可 以 与 其 
他 第 三 方 联 系 ， 但 你 需要 有 某 种 策略 来 管理 这 个 问题 。 如 果 你 让 第 三 方 测试 商 来 执行 这 个 
工作 ， 那 么 第 三 方 利 益 相 关 者 会 简单 地 上 传 他 们 最 新 版 本 的 代码 给 测试 人 员 ， 这 极 大 地 简 
化 了 你 的 任务 。( 你 仍然 需要 知道 对 第 三 方 代 码 做 出 的 任何 更 改 ， 因 为 这 些 改变 会 影响 到 
其 他 应 用 程序 。) 


测试 人 员 创 建 的 报告 需要 针对 公司 里 不 同 的 读者 。 管 理 团 队 可 能 只 想 看 到 提供 状态 信息 和 
好 看 数据 的 概述 。 用 户 可 能 只 想 知道 影响 可 用 性 的 问题 以 及 应 用 程序 的 界面 类 型 。 开 发 人 
员 想 要 详细 的 报告 ， 其 中 指明 准确 的 错误 位 置 和 可 能 的 修复 方法 。DBA 可 能 只 想 知 道 影响 
数据 库 的 具体 问题 。 总 之 ， 报 告 要 有 不 同 的 形式 来 满足 特定 读者 的 需求 。 
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12.4.2 ”向 公司 展示 报告 


应 用 程序 的 测试 过 程 会 自动 产生 绝 大 多 数 你 所 需要 的 报告 。 路 由 机 制 可 以 确保 每 个 需要 报 
告 的 人 可 以 通过 某 种 方法 得 到 报告 ， 比 如 电子 邮件 。 但 是 ， 把 报告 交 给 利益 相关 者 和 让 他 
们 阅读 报告 并 不 是 一 回 事 。 当 然 ， 问 题 是 为 什么 每 个 人 都 应 该 关心 这 个 问题 ， 毕 竞 利益 相 
关 者 才 应 该 阅读 这 些 材 料 。 问 题 在 于 利益 相关 者 会 忽略 这 些 信息 ， 直 到 他 们 真 的 需要 的 时 
候 ， 而 此 时 对 于 应 用 开发 来 说 通常 太 迟 了 。 为 了 让 应 用 程序 在 测试 结束 时 能 按 预 期 运行 ， 
利益 相关 者 需要 参与 其 中 。 

根据 所 使 用 的 开发 模型 ， 你 可 能 需要 每 周 向 公司 展示 报告 。 有 些 模型 需要 在 周一 召开 会 
议 。 每 个 周一 你 要 展示 一 份 包含 项 目 进度 、 任 何 问 题 以 及 一 个 示范 的 报告 。 能 够 每 周 看 到 
进度 的 利益 相关 者 会 更 乐于 参与 到 项 目 中 并 提供 更 好 的 输入 ， 这 意味 着 在 项 目 后 期 〈 无 法 
添加 功能 的 时 候 ) 被 要 求 添 加 功能 的 问题 会 减少 。 

将 周一 作为 展示 报告 的 日 子 还 能 给 开发 、 测 试 和 其 他 团队 时 间 去 响应 对 于 应 用 开发 的 建议 
或 需求 。 不 同 的 团队 有 一 周 的 时 间 来 开发 和 更 新 应 用 程序 版 本 ， 让 利益 相关 者 在 周一 大 吃 
一 惊 ， 而 不 必 在 周 日 进行 紧急 修补 。 因 此 ， 各 个 团队 都 能 获得 一 些 休 息 时 间 并 做 出 更 好 的 
工作 。 
































最 不 宜 向 公司 展示 报告 的 日 子 是 周 五 。 首 先 ， 没有 人 会 关注 任何 东西 ， 因 为 
他 们 已 经 开始 考虑 怎么 过 周末 了 。 就 算 他 们 关注 ， 在 经 过 一 周 的 工作 之 后 他 
们 都 很 疲 备 并 且 不 太 可 能 提供 有 创造 性 的 反馈 ， 而 这 些 反馈 是 你 设计 能 有 效 
工作 的 应 用 程序 所 需要 的 。 当 刚 知 晓 修 复 需求 时 ， 不 同 的 困 队 还 会 感到 有 义 
务 周末 加 班 来 修复 缺陷 。 如 果 你 想得到 对 应 用 程序 有 用 的 反馈 ， 请 避免 在 周 
五 作 报告 。 

















12.4.3 ”根据 测试 建议 采取 行动 

测试 、 报 告 、 讨 论 等 的 结果 是 各 个 团队 需要 修复 不 同 的 测试 人 员 发 现 的 缺陷 。 有 些 问 题 比 其 
他 问题 更 加 重要 ， 并 且 最 有 可 能 在 应 用 程序 布置 之 后 导致 问题 ， 所 以 你 要 首先 处 理 这 些 问 
题 。 测 试 团 队 和 利益 相关 者 交互 的 一 部 分 就 是 给 每 个 问题 定义 其 重要 程度 。 例 如 ， 在 修复 导 
致 应 用 程序 几乎 在 每 个 人 的 机 器 上 都 月 溃 的 缺陷 之 前 ， 你 不 会 想 修复 一 个 低 优先 级 的 问题 。 


但 是 ， 只 是 修复 问题 还 不 够 。 在 某 些 情况 下 ， 一 个 问题 有 不 止 一 个 答案 ， 而 你 可 能 要 创建 
实现 每 个 答案 的 应 用 程序 版 本 来 确定 哪 一 个 是 最 好 的 。 不 同 的 利益 相关 者 需要 检查 潜在 的 
修复 来 决定 哪 一 个 最 好 (可 能 不 会 是 相同 的 修复 方案 )。 为 一 个 问题 创建 并 执行 可 能 有 用 
的 修复 方案 是 根据 测试 建议 采取 行动 的 一 部 分 。 

把 修复 交 给 测试 人 员 测 试 也 是 很 重要 的 。 但 是 你 可 能 要 决定 不 立刻 测试 修复 。 可 能 一 个 交 
互 会 使 得 在 没有 修复 应 用 程序 的 其 他 问题 之 前 难以 或 不 可 能 测试 当前 的 修复 。 很 重要 的 是 
要 查找 问题 的 依赖 项 并 确保 这 些 依赖 项 与 原 问题 一 样 得 到 解决 。 
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第 四 部 分 


实现 维护 周期 








软件 可 以 并 且 确 实 会 受到 破坏 。 即 使 没有 任何 事情 发 生 ， 软 件 也 会 变 旧 或 停止 与 新 硬件 交 
互 。 在 某 些 情况 下 ， 用 户 会 抛弃 软件 或 发 现 软件 不 再 满足 他 们 的 需求 。 你 今天 提供 的 新 
的 、 令 人 兴 香 的 、 内 内 发 亮 的 代码 会 很 快 变 成 过 时 的 、 衰 败 的 昨日 代码 ， 如 果 它 足够 有 
名 ， 就 会 成 为 让 人 惊叹 的 “博物 馆 珍 品 ”。 在 你 花 了 大 量 的 时 间 和 精力 之 后 ， 听 说 你 的 代 
码 最 终 被 扔 到 垃圾 堆 里 是 很 难受 的 。 当 然 ， 通 过 维护 代码 ， 你 可 以 完全 避免 这 种 情况 ， 这 
也 是 本 书 这 一 部 分 的 重点 。 如 果 你 确实 想 让 你 的 应 用 程序 尽 可 能 长 时 间 地 提供 服务 ， 你 必 
须 从 一 开始 就 有 保持 它 活 力 的 计划 。 

本 书 的 这 一 部 分 会 将 维护 软件 的 任务 分 解 为 三 个 不 同 的 部 分 : 确定 何 时 更 新 软件 (第 13 
章 )， 确 定 如 何 进行 更 新 (第 14 章 )， 以 及 使 用 报告 来 监控 更 新 要 求 (第 15 章 )。 通 过 遵 
循 这 个 三 部 分 流程 ， 你 可 以 让 应 用 程序 保持 活力 ， 从 而 成 功 地 让 人 们 继续 喜欢 并 使 用 它 。 
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明确 定义 升级 周 其 





应 用 程序 会 不 断 地 暴露 在 网 络 威胁 之 下 ， 它 所 依赖 的 每 一 份 代 码 也 是 如 此 。 为 了 减少 已 知 
威胁 带 来 的 风险 ， 需 要 定期 对 应 用 程序 进行 升级 。 以 下 这 些 升级 措施 会 从 几 个 方面 改善 应 
用 程序 ， 它 们 全 都 对 安全 性 有 影响 。 


。 提升 可 用 性 以 减少 用 户 出 错 的 情况 

。 修复 编码 错误 

。 提升 速度 以 防止 用 户 做 出 意料 之 外 的 事情 

。 修复 功能 性 代码 以 减少 次 在 的 漏洞 

。 进行 必要 的 修复 以 升级 第 三 方 库 、API 和 微服 务 

本 章 从 多 个 层级 来 看 待 升级 过 程 。 你 不 Wa ae 
题 ， 特 别 是 由 愤怒 的 用 户 引 起 的 问题 。 升 级 需要 一 定量 的 计划 、 测 试 和 实施 。 以 下 儿 证 将 
讨论 升级 的 这 三 个 层级 ， 并 会 帮 你 制订 对 应 用 程序 二 有 意义 的 计划 。 


13.1 制订 详细 的 升级 周期 计划 


为 实施 变更 制订 计划 是 应 用 程序 升级 流程 的 一 部 分 。 问 题 在 于 ， 你 通常 不 知道 第 三 方 软件 
所 需要 的 升级 ， 不 理解 进行 升级 的 要 求 ， 无 法 按 有 具体 的 顺序 进行 升级 ， 然 后 在 实施 升级 计 
划 时 遭 遇 各 种 问题 。 关 键 是 要 创建 一 个 有 序 的 方法 来 评估 升级 ， 这 就 是 为 什么 需要 制订 升 
级 周期 计划 。 图 13-1 显示 执行 这 个 任务 时 可 以 遵循 的 流程 。 
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寻找 升级 
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依赖 项 ? 


否 
确定 升级 的 
必要 条 件 











图 13-1: 在 制订 升级 周期 计划 时 遵循 有 序 的 流程 可 以 节省 时 间 和 人 金钱 

这 里 的 要 点 是 每 次 只 处 理 一 个 单元 且 确 保 你 测试 了 与 之 相关 的 一 切 内 容 。 即 使 你 在 其 他 单 
元 测试 中 调试 了 某 个 依赖 项 ， 也 必须 在 当前 的 单元 中 测试 它 ， 因 为 当前 的 单元 可 能 以 不 同 
的 方式 使 用 该 依赖 项 或 以 不 同 的 方式 影响 它 。 

了 解 可 以 遵循 的 流程 之 后 ， 来 详细 看 看 如 何 执行 这 个 任务 。 接 下 来 会 讨论 与 升级 周期 计划 有 
关 的 问题 。 读 完 本 节 之 后 ， 你 应 该 能 够 更 好 地 理解 如 何 制订 满足 你 的 应 用 程序 需求 的 计划 。 
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13.1.1 寻找 升级 


由 于 用 户 投诉 和 系统 中 断 而 由 支持 人 员 收 集 的 故障 单 通常 会 告诉 你 需要 对 你 应 用 程序 代码 
做 什么 样 的 升级 。 如 果 故 障 单 没 能 告诉 你 所 需 的 所 有 信息 ， 它 们 至 少 为 你 提供 了 足够 的 信 
息 去 进行 必要 的 搜索 ， 以 准确 发 现 你 所 需要 的 升级 。 但 是 ， 第 三 方 应 用 软件 有 不 同 的 情 
况 。 除 非 开发 者 或 利益 相关 方 在 调试 内 部 代码 时 定位 了 问题 ， 否 则 升级 是 不 会 发 生 的 。 查 
找 第 三 方 软件 的 相关 升级 并 确保 你 有 它们 的 完整 清单 是 很 重要 的 。 否 则 你 无 法 维持 应 用 程 
序 的 安全 状态 ， 造 成 安全 漏洞 的 未 知 风险 也 会 增加 。 许 多 公司 最 终 会 因为 没有 意识 到 要 进 
行 必需 的 升级 而 遭受 打击 。 


有 些 第 三 方 提供 了 自动 更 新 通知 。 自 动 更 新 通知 是 一 种 确保 你 知道 它们 的 方 
式 ， 但 你 不 能 依赖 它们 。 通 知 会 告诉 你 绝对 可 用 的 更 新 ， 但 你 还 必须 去 积极 
检查 你 疫 有 听 说 过 的 更 新 。 即 使 一 个 供应 商 致力 于 提供 通知 ， 这 些 通知 仍然 
可 能 会 丢失 或 被 放 入 垃圾 文件 夹 。 



























































当 使 用 公开 库 、API 和 微服 务 的 时 候 ， 检 查 供应 商 的 网 站 可 以 了 解 到 你 需要 集成 到 应 用 程 
序 中 的 升级 。 许 多 情况 下 ， 供 应 商会 提供 beta 版 本 的 升级 ， 这 样 你 就 能 比较 早 地 使 用 它 
们 。 花 时 间 检 查 升级 会 造成 什么 影响 是 值得 的 ， 这 样 你 就 能 知道 这 个 升级 对 你 的 应 用 程序 
的 重要 性 。 与 所 有 影响 应 用 程序 所 使 用 功能 的 升级 相 比 ， 对 应 用 程序 使 用 的 功能 没有 任何 
影响 的 升级 会 显得 没 那 么 重要 。 但 是 你 仍然 应 该 在 某 个 时 间 点 进行 升级 ， 即 使 确定 对 你 从 
应 用 程序 没有 什么 影响 ， 因 为 升级 常常 有 依赖 性 的 交互 ， 即 使 是 供应 商 自 身 也 可 能 不 知道 
(或 者 是 没有 完全 测试 )。 
行业 刊物 中 的 文章 和 供应 商 发 布 的 文章 也 会 告诉 你 即将 进行 的 升级 。 此 外 ， 你 可 以 留意 那 
些 讨 论 你 所 使 用 的 产品 的 缺点 的 文章 以 及 供应 商 修复 它们 的 计划 。 所 有 这 些 信息 都 要 反馈 
到 你 的 升级 计划 中 。 提 前 了 解 会 发 生 什么 ， 你 就 可 以 提前 考虑 升级 问题 。 


当 要 进行 升级 时 ， 不 要 忽视 人 员 沟 通 方 面 的 影响 。 通 过 供应 商 内 部 的 人 员 ， 你 常常 可 以 比 
其 他 人 早 知 道 升级 的 信息 。 提 早 知道 升级 会 给 你 带 来 竞争 优势 ， 因 为 你 可 以 比 其 他 人 更 快 
速 地 准备 升级 。 在 计算 机 行业 ， 时 间 是 一 个 很 重要 的 资源 ， 那 些 一 旦 需要 就 能 发 布 升级 的 
公司 会 是 能 留 住 客户 和 保持 吸引 力 的 公司 。 能 够 制订 计划 也 会 减少 员工 的 压力 ， 并 可 以 让 
每 一 个 人 进行 更 好 的 升级 (贸然 的 升级 有 时 候 会 带 来 比 它们 所 修复 的 问题 更 大 的 麻烦 )。 
当 听 到 需要 进行 升级 (无论 是 对 自己 的 代码 还 是 对 第 三 方 提 供 的 代码 ) 时 ， 你 需要 把 相关 
信息 列 在 一 个 清单 里 。 开 发 团队 的 每 个 人 都 应 该 能 访问 这 份 清 单 并 了 解 未 来 升级 的 要 求 。 
鼓励 你 的 团队 去 讨论 六 在 的 升级 以 及 这 些 升级 会 给 应 用 程序 带 来 的 影响 。 当 时 间 因 素 很 重 
要 的 时 候 ， 让 人 们 思考 升级 以 及 如 何 进 行 升级 ， 都 会 减少 你 后 面 的 工作 量 。 


13.1.2 ”确定 升级 的 要 求 


知道 一 次 升级 的 细 市 是 一 个 好 的 开端 。 但 是 对 于 做 任何 具体 的 升级 来 说 ， 这 还 不 够 。 你 必 
须 确定 进行 升级 的 要 求 。 在 某 些 情况 下 ， 一 次 升级 可 以 带 来 与 创建 一 个 新 应 用 程序 同样 的 
问题 。 预 测 一 次 复杂 的 升级 会 花费 多 少时 间 和 需要 多 少 资源 ， 几 乎 是 不 可 能 的 。 制 定 升级 
要 求 规范 时 ， 你 可 以 考虑 以 下 内 容 。 
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确定 资源 的 要 求 

不 是 所 有 的 升级 都 需要 额外 的 资源 ， 但 令 人 惊讶 的 事实 是 ， 大 部 分 都 需要 。 资 源 可 以 包 
括 各 种 东西 : 内存、 处 理 周期 、 硬 盘 空 间 、 数 据 源 、 屏 幕 空间 、 输 入 类 型 (比如 传 感 
器 )、 网 络 带 宽 等 。 这 份 清 单 可 以 变 得 很 长 ， 而 你 需要 仔细 考虑 它 ， 因 为 资源 的 改变 可 
能 有 副作用 ， 比 如 在 用 户 过 去 依赖 的 设备 上 无 法 再 运行 应 用 程序 。 


获取 任何 所 需 的 平台 变化 

留意 被 废弃 的 特性 始终 是 一 个 好 的 做 法 。 被 废弃 的 特性 会 导致 各 种 问题 ， 因 为 有 时 候 它 
们 不 会 考虑 比较 旧 的 平台 。 你 需要 仔细 考虑 一 个 平台 的 变化 会 如 何 影 响 用 户 。 可 能 一 次 
升级 会 将 比较 旧 的 、 但 仍然 热门 的 、 人 们 喜欢 的 操作 系统 排除 在 外 。 不 要 去 听 无 休止 的 
对 平台 改变 的 抱 忽 ， 你 需要 在 实施 它 之 前 了 解 它 以 及 它 对 你 的 公司 、 应 用 程序 和 用 户 的 
影响 。 

考虑 创建 、 测 试 以 及 发 布 升 级 所 需 的 时 间 

需要 考虑 的 升级 要 求 中 最 难 的 一 部 分 就 是 创建 、 测 试 和 发 布 升级 所 需 的 时 间 。 无 论 你 多 
么 仔细 地 尝试 计算 出 这 个 要 求 ， 它 通常 都 不 会 符合 实际 情况 。 大 部 分 人 都 预测 他 们 能 
比 真实 所 需 时 间 短 得 多 的 时 间 完 成 任务 。 当 确定 这 个 升级 要 求 时 ， 请 确保 用 真实 数据 ， 
并 为 那些 在 软件 项 目 中 经 常 发 生 的 意外 事件 增加 时 间 和 资源 。 


当 尝 试 计算 时 间 要 求 时 有 很 多 问题 。 你 很 少 会 在 书 中 看 到 的 一 个 问题 是 ， 
需要 考虑 人 员 因 素 。 你 团队 中 的 人 员 会 被 很 多 项 目 中 的 任务 牵 拌 着 。 如 
果 他 们 觉得 可 以 把 你 的 项 目 搁置 一 段 时间 而 去 完成 更 重要 的 任务 ， 他 们 
肯定 就 会 这 么 做 。 这 就 是 拖延 因素 ， 而 在 计划 过 程 中 你 需要 用 一 些 积极 
的 方式 来 处 理 它 。 除 非 团队 成 员 认 识 到 你 的 项 目的 重要 程度 ， 否 则 每 一 
步 的 拖延 因素 都 会 给 你 制造 问题 。 就 因为 在 计划 中 没有 关注 人 员 因 素 ， 
你 本 来 能 够 按时 完成 的 项 目 会 突然 变 得 需要 延期 。 










































































创建 一 份 进行 升级 所 需 的 人 员 和 技能 的 清单 

升级 项 目的 一 个 普遍 问题 是 ， 原 来 的 计划 没有 包括 完成 这 项 任务 所 需 的 人 员 和 技能 的 清 
单 。 人 们 通常 认为 一 小 部 分 人 或 可 能 只 需要 一 个 人 就 能 成 功 完成 升级 。 遗 憾 的 是 ， 并 不 
是 如 此 。 升 级 要 像 新 项 目 那 样 仔细 规划 每 一 点 。 为 了 确保 升级 达到 相同 的 高 标准 ， 你 需 
要 拜访 原来 项 目 里 的 那些 专家 。 

升级 时 常常 会 忘记 将 用 户 作 为 团队 的 一 部 分 。 因 此 ， 升 级 会 破坏 UI， 并 
导致 用 户 很 快 就 会 发 现 、 但 开发 人 员 会 完全 遗漏 的 其 他 问题 。 在 升级 过 
程 中 ， 请 确保 包含 所 有 必需 的 人 员 ， 以 保证 最 终 的 升级 是 有 效 且 安全 的 。 




















定义 升级 对 数据 源 潜在 的 影响 

升级 会 以 各 种 方式 影响 数据 源 。 例 如 ， 你 可 能 会 发 现 你 需要 为 数据 库 增 加 新 的 字段 ， 或 
者 你 需要 访问 一 个 全 新 的 数据 源 。 数 据 产 可 能 是 来 自传 感 器 的 输入 或 是 其 他 非 传统 的 信 
息 ， 这 些 信息 是 应 用 程序 现在 需要 用 来 使 功能 正常 的 数据 。 当 你 考虑 一 次 升级 的 后 果 
时 ， 请 思考 应 用 程序 可 能 需要 的 所 有 输入 。 
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与 旧 的 应 用 程序 不 同 ， 在 要 求 清单 中 你 再 也 不 能 只 考虑 自己 的 应 用 程序 ， 或 者 在 运营 环境 
中 只 考虑 自己 公司 的 需求 。 你 的 升级 要 求 清单 将 需要 考虑 第 三 方 库 、API 和 微服 务 的 使 用 。 
此 外 ， 你 现在 需要 考虑 将 应 用 程序 运行 的 环境 作为 整个 要 求 清单 的 一 部 分 。 


还 有 一 点 很 重要 ， 不 要 忘记 用 户 。 当 用 户 依赖 桌面 端 系统 时 ， 创 建 一 个 可 挖 环境 是 很 容易 
的 ， 在 这 个 环境 中 很 容易 考虑 到 用 户 的 需求 。 现 在 ， 用 户 可 能 会 在 当地 的 餐馆 中 用 智能 手 
机 使 用 你 的 应 用 程序 。 用 户 (希望 不 是 司机 ) 可 能 在 乘坐 轿车 时 使 用 应 用 程序 ， 或 者 在 拱 
乘 区 间 车 或 公共 汽车 时 使 用 应 用 程序 。 升 级 要 求 需要 考虑 应 用 于 各 种 环境 中 的 各 种 设备 。 


13.1.3 定义 升级 的 临界 点 


升级 会 从 许多 方面 影响 应 用 程序 ， 而 不 升级 的 风险 会 根据 应 用 程序 、 平 台 和 需求 的 不 同 而 
不 同 。 升 级 的 临界 点 会 直接 与 不 升级 带 来 的 风险 成 正比 。 当 一 个 升级 变 得 很 关键 时 ， 它 在 
你 升级 清单 中 的 优先 级 就 会 提高 。 计 划 升 级 周期 的 一 部 分 就 涉及 给 升级 优先 级 赋值 ， 这 样 
公司 就 会 首先 进行 最 高 优先 级 的 升级 。 否 则 ， 你 无 法 确定 升级 过 程 是 否 真 的 会 帮助 公司 减 
少 风 险 。 当 处 理 优先 级 时 ， 请 考虑 以 下 这 些 标准 。 
。 安全 风险 
安全 升级 通常 会 有 很 高 的 优先 级 ， 因 为 已 有 人 证 明 某 些 方法 可 以 破坏 你 的 系统 。 但 并 不 
是 所 有 的 安全 升级 都 代表 着 马上 会 面临 风险 ， 因 为 还 没有 已 知 的 黑客 利用 这 个 缺陷 发 起 
攻击 ， 或 者 攻击 需要 特定 的 条 件 ， 比 如 需要 访问 物理 机 器 。 当 对 安全 升级 的 需求 进行 优 
先 级 排序 时 ， 要 考虑 这 个 安全 问题 给 应 用 程序 带 来 的 风险 大 小 。 


。 潜在 的 破坏 

在 升级 清单 中 ， 对 导致 应 用 程序 或 数据 损坏 的 问题 进行 修复 的 升级 的 优先 级 通常 会 比较 
高 。 根 据 风 险 的 不 同 ， 修 复 问题 的 升级 在 很 多 情况 下 可 以 取代 安全 升级 。 在 这 种 情况 
下 ， 你 必须 确定 这 种 损害 发 生 的 可 能 性 以 及 导致 的 后 果 。 


。 潜在 的 错误 
由 用 户 输入 或 其 他 问题 制造 的 错误 会 带 来 巨大 的 风险 ， 但 是 你 能 用 额外 的 用 户 培 训 或 通 
过 新 的 公司 政策 来 解决 许多 这 样 的 错误 。 尽 管 如 此 ， 你 必须 基于 错误 发 生 的 概率 、 错 误 
可 能 导致 的 破坏 以 及 公司 解决 、 捕 获 和 修正 错误 的 能 力 来 给 出 优先 级 。 


。 自然 事件 
有 一 些 升级 会 解决 可 能 导致 应 用 程序 错误 的 自然 事件 。 线 噪声 的 存在 会 导致 数据 流 中 单 
个 位 的 错误 ， 所 以 一 个 解决 方案 是 包含 纠 错 码 (error-correcting code ，ECC) 程序 来 根 
除 并 修复 该 错误 。 在 大 部 分 情况 下 ， 随 着 能 自动 修复 这 些 严重 错误 的 技术 的 出 现 ， 你 所 
以 赋予 这 些 问 题 较 低 的 优先 级 。 你 仍然 必须 进行 修复 它们 的 升级 ， 但 是 对 肯定 会 导致 问 
题 的 安全 问题 的 升级 必须 首先 进行 。 
给 你 的 优先 级 列表 赋值 是 很 重要 的 。 这 些 值 有 助 于 更 容易 地 确定 一 个 变更 是 否 是 关键 的 
(因为 它 修 复 了 一 个 安全 漏洞 ) ， 或 只 是 为 了 方便 〈 因 为 它 做 了 用 户 认为 比 可 用 性 更 合适 和 
完美 的 界面 改变 )。 图 13-2 展示 了 当 使 用 5 个 级 别 的 优先 级 系统 (你 的 系统 可 能 包含 不 同 
的 级 别 数 量 ) 时 ， 不 同 的 优先 级 标准 之 间 可 能 的 相互 作用 。 
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潜在 的 错误 
































图 13-2: 平衡 优先 级 是 测试 过 程 中 的 一 个 重要 部 分 


很 重要 的 是 要 定期 更 新 应 用 程序 所 需 更 新 的 优先 级 。 当 有 新 的 变更 要 求 时 ， 要 相应 地 提升 
现 有 升级 的 优先 级 。 否 则 ， 新 增 的 变更 需求 可 能 会 降低 一 些 现 有 升级 的 优先 级 。 为 了 让 列 
出 来 的 升级 能 够 完成 其 所 要 达到 的 目标 ， 你 必须 持续 更 新 。 


13.1.4 检查 升级 的 问题 


任何 时 候 你 对 现 有 产品 进行 升级 ， 都 可 能 会 有 兼容 性 或 其 他 问题 发 生 ， 而 直到 将 升级 迁移 
到 生产 环境 之 后 你 才 会 发 现 它们 。 到 那个 时 候 ， 要 对 问题 进行 处 理 已 经 太 晚 了 ， 只 能 做 出 
响应 并 期 望 最 好 的 结果 。 一 个 更 好 的 方案 是 在 测试 阶段 查找 次 在 的 升级 问题 ， 这 意味 着 要 
有 大 量 的 测试 团队 或 依靠 第 三 方 测试 商 ( 详 见 第 12 章 )。 但 是 ， 其 至 在 你 进入 测试 阶段 之 
前 (在 升级 以 任何 方式 被 实施 之 前 )， 也 可 以 运用 各 种 技巧 来 发 现 升级 是 否 会 制造 问题 。 
以 下 列 出 了 一 些 较为 常见 的 技巧 。 





















































查看 供应 商 网 站 

供应 商 常 常会 提供 关于 它们 产品 已 知 问题 的 详细 情况 ， 包 括 兼 容 性 问题 。 事 实 上 ， 有 时 
候 为 了 推动 产品 发 展 ， 供 应 商 可 能 会 专门 引入 破坏 性 的 变更 ， 这 肯定 会 导致 你 的 应 用 程 
序 出 现 问 题 。 一 旦 认识 到 这 些 问题 ， 你 就 需要 考虑 为 了 获得 新 特性 而 升级 ， 进 而 对 安全 
性 和 可 靠 性 造成 影响 ， 这 是 否 值得 。 

查看 产品 或 供应 商 的 论坛 

在 某 些 情况 下 ， 供 应 商会 没有 意识 到 有 破坏 性 的 改变 或 不 愿意 承认 它 。 其 他 的 用 户 会 告 
诉 你 潜在 的 破坏 性 变更 。 这 些 不 断 弹出 的 怪异 的 错误 信息 在 告诉 你 潜在 的 软件 问题 。 当 
你 开始 关注 论坛 消息 后 ， 会 对 升级 做 进一步 的 调查 ， 以 避免 在 升级 应 用 程序 时 遭遇 别人 
遇 到 的 问题 。 


阅读 行业 杂志 

最 糟糕 的 破坏 性 变更 通常 出 现在 行业 杂志 的 某 个 地 方 。 同 时 是 作家 的 专业 开发 人 员 通 党 
会 查找 那些 使 得 产品 几乎 不 能 正确 使 用 的 产品 变更 。 在 某 些 情况 下 ， 你 甚至 能 找到 问题 
的 解决 方法 。 当 一 个 破坏 性 的 变更 出 现在 行业 杂志 上 时 ， 你 可 以 确定 供应 商 们 正在 修复 
这 个 问题 ， 所 以 比 起 立即 进行 更 新 来 说 ， 更 好 的 方式 可 能 是 等 待 修复 发 布 。 
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。 直接 对 新 的 第 三 方 代码 进行 测试 
测试 框架 和 测试 脚本 的 使 用 ( 见 第 11 章 ) 是 查找 潜在 问题 的 关键 部 分 。 测 试 可 能 不 会 发 
现 所 有 的 问题 ， 但 当 一 个 问题 足够 大 时 ， 你 可 以 确信 测试 会 给 你 一 个 关于 该 问题 的 提示 。 
。 开发 功能 子 集 的 测试 场景 
如 果 你 怀疑 在 代码 中 有 破坏 性 的 变更 ， 但 又 无 法 找到 关于 它 的 明确 的 信息 来 源 ， 那 么 可 
以 尝试 创建 一 个 小 型 的 聚焦 于 具体 功能 的 应 用 程序 。 如 果 你 真 的 发 现 有 问题 ， 那 么 创建 
一 个 只 运行 部 分 库 、API 或 微服 务 以 进行 验证 的 测试 应 用 程序 不 会 花费 太 多 时 间 并 且 相 
当 有 用 。 测 试 应 用 程序 可 以 作为 开发 解决 方案 或 检查 供应 商 何 时 修复 问题 的 手段 。 
。 获取 第 三 方 的 专业 建议 
一 些 测 试 公司 和 许多 顾问 可 以 对 库 、API 和 微服 务 提供 专业 建议 ， 因 为 他 们 一 直 在 尝试 
破坏 这 些 代码 。 把 工作 时 间 都 用 来 播 打 代码 的 人 肯定 能 提供 一 些 优势 ， 这 些 优势 是 那些 
很 少 写 代码 开发 应 用 程序 的 人 所 不 能 提供 的 。 


许多 公司 决定 引入 大 量 的 变更 作为 一 个 单一 的 综合 升级 包 的 一 部 分 ， 他 
们 认为 单 次 升级 会 比 多 次 升级 好 得 多 。 当 所 有 的 事情 都 完全 按 计划 进行 
时 ， 单 次 升级 确实 会 有 较 小 的 破坏 性 。 但 事实 是 ， 事 情 很 少 按 计 划 进 行 ， 
而 在 单 次 包 中 进行 多 个 升级 会 使 得 查找 出 错 的 过 程 变 得 复杂 。 使 用 阶段 
性 的 方法 来 引入 变更 通常 是 更 好 的 方式 。 在 生产 环境 中 通常 会 出 现 你 在 
测试 环境 中 无 法 发 现 的 问题 ， 所 以 阶段 性 的 变更 可 以 帮 你 快速 定位 新 的 
问题 ， 这 样 你 就 能 在 它们 成 为 大 问题 之 前 解决 它们 。 
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任何 第 三 方 代码 的 更 新 都 不 可 能 是 完全 设 问题 的 。 任 何 代 码 的 变更 都 可 能 引入 bug、 破 解 
代码 的 变化 、 界 面 的 改变 、 设 计策 略 的 变化 以 及 各 种 其 他 无 法 简单 避免 的 问题 ， 因 为 变更 
像 一 枚 硬币 ， 有 一 面 是 好 的 ， 而 另 一 面 是 坏 的 。 抛 硬币 通常 决定 了 你 最 终 得 到 好 的 一 面 还 
是 坏 的 一 面 。( 当 然 ， 硬 币 也 会 有 一 个 边 ， 而 有 一 些 变更 也 确实 是 中 立 的 。) 


某 些 时 候 ， 你 需要 确定 你 找到 的 问题 是 否 会 导致 如 此 多 的 问题 ， 是 否 值得 花费 时 间 去 升 
级 。 当 你 确定 不 值得 花 时 间 进 行 升级 时 ， 还 必须 考虑 依赖 的 问题 。 你 拒绝 的 代码 可 能 会 以 
某 种 方式 影响 一 些 其 他 的 升级 代码 或 应 用 程序 ， 在 没有 分 析 的 情况 下 你 无 法 预见 这 些 情 
况 。 花 时 间 确 定 破坏 性 问题 是 否 真 的 会 导致 在 不 升级 时 带 来 太 多 痛 昔 是 值得 的 。 取 消 应 用 
升级 并 等 待 修复 更 容易 释放 出 有 缺陷 的 软件 ， 从 而 使 得 用 户 愤怒 并 可 能 导致 安全 问题 。 


13.1.5 ”创建 测试 场景 
测试 一 个 升级 要 遵从 很 多 与 第 11 章 和 第 12 章 所 述 相同 的 过 程 。 但 是 ， 升 级 过 程 要 求 你 执 
行 一 些 强制 测试 以 确保 升级 按 预期 工作 。 测 试用 例 的 使 用 可 以 确保 在 发 布 之 前 对 升级 进行 
完全 测试 。 下 面 列 出 了 在 测试 升级 的 过 程 中 必须 包含 的 一 些 测试 场景 。 
。 故障 单 内 容 
你 进行 升级 所 要 解决 的 故障 单 应 该 包含 足够 的 信息 以 创建 测试 用 例 。 当 情况 不 是 如 此 时 ， 
你 需要 与 负责 研究 修复 问题 的 开发 人 员 合 作 。 在 应 用 程序 中 修复 的 每 个 bug (无 论 是 编码 
错误 还 是 其 他 非 编 码 错误 ) 都 要 求 有 一 个 测试 用 例 来 确保 你 完整 测试 了 变更 的 代码 。 
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。 行动 项 
有 时 候 一 个 问题 不 会 产生 故障 单 ， 因 为 你 无 法 重 现 该 问题 或 因为 其 他 原因 (比如 不 能 访 
问 代码 ) 无 法 修复 它 。 尽 管 你 只 是 怀疑 一 个 问题 ， 但 尝试 一 个 测试 用 例 来 找到 它 是 很 重 
要 的 。 代 码 的 变更 通常 会 让 一 个 间 吹 性 的 问题 变 得 更 加 明显 ， 从 而 带 来 了 修复 它 的 可 
能 。 但 是 ， 你 只 能 在 测试 过 程 中 发 现 这 些 机 会 。 

。 第 三 方 代码 变更 
对 于 每 一 个 第 三 方 代码 的 变更 ， 你 都 应 该 为 应 用 程序 创建 一 个 测试 用 例 。 你 需要 明确 第 
三 方 代码 的 更 改 不 会 给 应 用 程序 带 来 负面 影响 。 遗 憾 的 是 ， 你 通常 在 集成 测试 阶段 才 改 
现 这 些 问题 ， 除 非 你 有 很 棒 的 测试 框架 和 一 些 检 查 第 三 方 代码 的 测试 脚本 。 

。 环境 和 配置 变更 
各 种 环境 和 配置 的 变更 都 会 导致 问题 。 例 如 ， 公 司 的 政策 可 能 会 改变 IT 赋予 用 户 访问 
资源 的 权限 。 这 个 变更 是 正面 的 ， 因 为 它 保证 了 资源 的 安全 并 且 减 少 了 对 资源 的 访问 ， 
所 以 应 用 程序 可 以 运行 得 更 快 。 但 是 ， 缺 少 访问 权限 也 会 给 用 户 带 来 麻烦 ， 所 以 你 需要 
确保 用 户 仍然 能 够 访问 他 们 需要 的 资源 。 其 他 类 型 的 环境 及 配置 的 变更 会 对 应 用 程序 有 
类 似 的 影响 ， 并 且 直 到 你 进行 了 必要 的 测试 之 后 才能 知道 这 一 情况 。 


13.1.6 ”实施 变 
此 时 ， 你 已 经 考虑 了 一 次 升级 的 所 有 元 素 。 所 以 ， 这 项 工作 的 关键 是 要 确保 升级 可 以 : 


。 按期 般 工 作 

。 保持 稳定 

。 提供 适当 的 安全 性 
。 提升 可 靠 性 

。 创建 很 棒 的 UI 

。 堵 住 任何 安全 漏洞 


实施 过 程 应 该 首先 从 清单 中 最 高 优先 级 的 项 目 开 始 ， 而 不 是 尝试 一 次 实现 所 有 项 目 。 许 多 
公司 面临 的 一 个 问题 是 升级 变 成 压倒 一 切 。 变 更 常常 会 发 生 ， 但是， 是 在 经 过 测试 和 满足 
规范 要 求 的 情况 下 进行 的 。 因 此 ， 升 级 本 身 最 终 需要 一 次 升级 。 某 些 时 候 ， 代 码 会 变 得 非 
常 混乱 ， 疫 有 人 能 够 完全 理解 ， 并 且 设 有 人 能 够 保证 安全 。 你 得 到 的 会 是 墨客 最 喜欢 的 软 
件 ， 因 为 很 容易 攻克 任何 建立 在 其 上 的 防御 措施 ， 并 且 也 很 容易 隐藏 攻击 行为 。 


13.2 ”制订 升级 测试 计划 


有 时 候 ， 你 需要 为 升级 编写 代码 。 你 不 应 该 一 直 等 待 这 个 过 程 结 束 才 开始 测试 。 要 尽 可 能 
快 地 开始 测试 ， 特 别 是 当 与 第 三 方 测试 商 合作 时 。 你 越 早 发 现 凌 在 的 问题 ， 修 复 它们 所 需 
的 成 本 和 时 间 花 销 就 越 少 。 考 虑 使 用 mocking， 这 样 你 就 能 在 功能 可 用 时 进行 升级 测试 ， 
而 不 用 因为 依赖 而 等 待 整 个 升级 。 为 此 ， 接 下 来 开始 为 升级 制订 并 实施 一 个 测试 计划 。 
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13.2.1 执行 所 需 的 预测 试 

一 旦 升级 过 程 开始 ， 你 就 需要 立即 开始 测试 过 程 。 许 多 人 不 明白 贸然 是 什么 意思 ， 但 大 部 
分 公司 还 没 解决 问题 就 把 钱 花 光 了 。 为 了 确保 测试 能 够 恰当 地 进行 ， 你 需要 立刻 开始 测 
试 。 在 升级 代码 的 过 程 中 ， 你 必须 执行 以 下 这 些 级 别 的 测试。 





单元 

确保 你 完成 编码 时 测试 了 每 一 个 变更 。 否 则 ， 你 无 法 确定 代码 是 否 可 以 工作 。 使 用 
mocking 有 助 于 在 这 个 级 别 上 使 测试 过 程 变 得 可 行 。 

依赖 

你 做 出 的 变更 会 影响 其 他 代码 。 为 此 ， 需 要 测试 相关 代码 里 的 依赖 项 ， 这 样 你 就 有 机 会 
以 轻松 的 方式 进行 集成 测试 。 

配置 

确保 对 配置 的 设置 仍然 能 够 提供 IT 专家 期 望 的 效果 和 灵活 性 水 平 ， 这 是 很 重要 的 。 否 
则 ， 当 你 以 不 同 的 方式 开始 配置 时 ， 应 用 程序 会 在 集成 测试 阶段 失败 。 

安全 性 

你 不 能 简单 地 假设 你 对 代码 做 的 修复 真 的 会 像 预 期 那样 工作 。 有 时 候 安 全 修复 并 不 能 真 
的 修复 问题 。 你 需要 对 未 能 确定 是 否 真 的 堵 住 了 安全 漏洞 的 修复 代码 进行 测试 。 此 外 ， 
你 必须 确保 修复 不 会 引入 新 的 漏洞 。 


有 些 开 发 人 员 认 为 安全 测试 是 查找 代码 中 的 漏洞 。 是 的 ， 这 是 一 种 安全 
测试 。 但 是 ， 你 必须 测试 安全 性 的 所 有 方面 。 例 如 ， 一 个 通常 被 遗漏 的 
安全 测试 级 别 是 确保 用 户 最 终 有 合适 的 角色 并 且 有 所 需 的 访问 级 别 。 执 
行 用户 级 别 任务 的 管理 者 应 该 是 一 个 用 户 角 色 ， 而 不 是 管理 角色 。 黑 客 
会 利用 角色 问题 来 用 比 本 应 该 的 授权 更 高 的 授权 级 别 入 侵 系统 。 












































数据 连通 性 

应 用 程序 管理 数据 ， 否 则 就 没有 理由 开发 应 用 程序 了 。 你 的 测试 必须 确保 测试 的 单元 
仍然 能 够 连接 到 所 需 的 数据 产 并 成 功 管理 它们 。 有 时 候 ， 我 们 会 很 惊奇 地 发 现 对 安全 
问题 或 其 他 问题 的 修复 实际 上 最 终 会 使 得 数据 不 可 访问 或 者 破坏 应 用 程序 安全 管理 数 
据 的 能 























13.2.2 ”执行 所 需 的 集成 测试 

当 你 把 升级 放 在 一 起 时 ， 就 需要 查找 集成 问题 。 因 为 你 不 是 从 零 开始 写 代码 的 ， 所 以 要 找 
出 集成 问题 会 比较 麻烦 。 你 要 把 最 近 大 家 写 的 新 代码 和 很 久 没 有 人 看 过 的 旧 代码 混合 在 一 
起 。 当 专门 开发 新 代码 时 ， 开 发 人 员 理解 集成 问题 的 能 力 是 比较 弱 的 。 因 此 ， 你 需要 执行 











第 11 章 所 描述 的 那 种 集成 测试 ， 但 是 要 关注 新 旧 代 码 之 间 的 接口 。 
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如 果 有 处 理 过 旧 代 码 且 完 全 理解 它 的 人 ， 对 查找 集成 问题 是 很 有 帮助 的 。 考 
虑 到 人 们 会 不 断 变 换 工作 ， 你 可 能 不 得 不 要 寻找 儿 个 适合 的 人 并 聘请 他 们 作 
为 顾问 来 解决 出 现在 旧 代 码 中 的 问题 。 聘 请 熟悉 旧 代 码 的 人 可 以 为 指出 旧 代 
码 的 问题 节省 大 量 时 间 和 工作 量 。 此 外 ， 在 之 前 的 开发 团队 中 工作 的 人 员 可 
以 解释 为 什么 有 些 代 码 要 这 样 工 作 ， 以 及 为 什么 团队 要 以 某 种 方式 处 理事 
情 。 文 档 可 能 会 提供 这 类 信息 ， 但 文档 通常 是 不 充分 的 且 没 有 良好 的 组 织 ， 
所 以 有 时 候 它 带 来 的 问题 比 答案 更 多 。 









































请 用 现 有 的 测试 框架 和 脚本 来 进行 测试 ， 以 确保 应 用 程序 仍然 能 满足 基本 要 求 。 你 可 能 必 
须 对 测试 框架 和 脚本 进行 更 新 ， 以 确保 你 能 为 新 特性 提供 测试 功能 并 且 移 除 对 废弃 特性 的 
测试 。 你 要 对 测试 框架 和 脚本 所 做 的 变更 维持 一 份 变更 日 志 。 否 则 ， 当 某 一 个 升级 被 证 明 
是 不 正确 的 时 候 ， 你 无 法 回 退 变 更 。 


13.3 ”将 升级 移 到 生产 环境 


一 旦 测试 完成 并 且 确 定 升级 可 以 正常 工作 ， 你 就 需要 将 其 迁移 到 生产 环境 。 如 果 你 的 公司 
很 大 ， 淮 试 首先 对 部 分 用 户 进行 升级 ， 这 样 如 果 这 些 用 户 发 现 了 错误 ， 你 可 以 在 不 影响 整 
个 公司 的 情况 下 修复 它 。 重 要 的 是 要 记 住 应 用 程序 必须 在 升级 时 保证 可 靠 和 安全 ， 还 要 满 
足 用 户 要 求 的 速度 和 界面 的 体验 。 否 则 ， 升 级 会 因为 用 户 拒绝 使 用 而 失败 。 他 们 会 想 要 使 
用 感觉 更 舒服 的 版 本 ， 即 使 那个 版 本 可 能 会 导致 数据 泄露 或 其 他 安全 问题 。 


你 要 聘请 用 户 作为 测试 人 员 的 部 分 理由 就 是 要 确保 他 们 会 告诉 其 他 人 关于 新 
升级 的 信息 。 当 用 户 对 升级 感到 兴奋 时 ， 你 会 得 到 更 好 的 响应 ， 并 且 会 花 更 
少 的 时 间 来 让 每 个 人 都 开始 使 用 新 产品 。 当 然 ， 你 要 确保 测试 人 员 有 比较 好 


的 经 验 。 
























































从 安全 的 角度 来 说 ， 聘 用 第 三 方 测试 商 对 升级 进行 入 侵 测试 是 有 帮助 的 。 是 的 ， 大 部 分 人 
会 说 你 应 该 在 测试 服务 器 上 完成 所 有 必需 的 测试 ， 就 绝 大 多 数 情况 而 言 他 们 是 正确 的 。 但 
是 ， 入 侵 测 试 不 仅仅 检查 应 用 程序 的 错误 ， 它 还 提供 了 对 以 下 这 些 项 目的 完整 检查 。 

。 网 络 连接 

。 入 侵 检 测 软件 

。 入 侵 防 御 软 件 

。 DMZ 可 靠 性 

。 所 有 硬件 需要 的 固件 更 新 

。 服务 器 设置 

。 所 有 软件 所 需 的 更 新 

。 应 用 程序 环境 

。 第 三 方 库 、API 和 微服 务 

。 应 用 程序 

。 用 户 进程 
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。 数据 库 连 通 性 
通过 测试 不 太 可 能 检查 所 有 这 些 项 。 例 如 ， 你 可 以 通过 测试 来 检查 生产 服务 器 遭受 攻击 的 
脆弱 程度 。 虽 然 看 起 来 有 些 测试 问题 不 属于 迁移 升级 到 生产 环境 这 个 范围 ， 但 是 对 服务 器 
设置 (包括 应 用 软件 ) 的 任何 变更 ， 都 确实 需要 这 样 一 种 测试 。 不 同 组 件 之 间 的 交互 使 得 
尔 无 法 知道 在 变更 之 后 服务 器 是 否 仍 然 可 靠 和 安全 。 遗 憾 的 是 ， 许 多 公司 并 没有 做 好 这 方 
看 的 工作 ， 因 为 似乎 没有 人 理解 服务 器 设置 发 生 了 什么 。 关 键 是 服务 器 现在 可 能 很 脆弱 ， 
而 你 可 能 完全 不 知道 。 


测试 软件 不 是 你 要 考虑 的 唯一 事情 。 获 取 用 户 对 界面 改变 的 反馈 也 是 很 重要 的 。 用 户 每 天 
都 有 很 多 时 间 在 细致 地 使 用 应 用 程序 。 用 户 很 可 能 会 比 开发 人 员 更 早 遇 到 由 于 界面 改变 而 
导致 的 潜在 安全 问题 。 事 实 上 ， 经 验 表明 ， 开 发 人 员 经 常 发 现 不 了 具体 变更 导致 的 问题 ， 
而 这 些 问题 对 于 用 户 来 说 是 非常 明显 的 。 这 并 不 是 说 开发 人 员 不 够 敏感 或 没有 正确 地 完成 
工作 ， 只 是 因为 用 户 对 于 应 用 程序 应 该 如 何 工 作 有 完全 不 同 的 视角 。 

对 于 一 次 升级 来 说 ， 检 查 升级 是 否 会 影响 管理 员 、 开 发 运营 人 员 、DBA 和 其 他 技术 人 员 也 
是 要 优先 做 的 事情 。 你 需要 确定 变更 是 否 会 给 用 户 带 来 负面 影响 。 例 如 ， 在 系统 中 花费 大 
长 时 间 传 播 的 配置 更 改 代 表 着 潜在 的 安全 漏洞 。 如 果 用 户 的 删除 操作 需要 花 24 小 时 才能 
生效 ,愤怒 的 用 户 会 导致 各 种 难以 跟踪 的 问题 。 所 有 这 一 切 都 是 会 导致 公司 发 生 各 种 各 样 
悲剧 的 问题 ， 所 以 确保 公司 的 IT 专家 能 够 完成 他 们 的 工作 是 升级 很 关键 的 一 部 分 。 
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第 14 章 


考虑 更 新 选项 








更 新 意味 着 将 新 的 信息 、 特 性 或 界面 元 素 带 给 应 用 程序 。 提 高 应 用 程序 准确 性 也 属于 更 
新 。 一 次 更 新 可 能 不 会 显著 影响 应 用 程序 的 代码 ， 但 仍然 能 够 以 多 种 方式 影响 安全 性 。 例 
如 ， 更 新 数据 库 使 其 包含 一 个 字段 ， 用 于 显示 谁 最 后 编辑 了 该 记录 ， 这 就 可 以 跟踪 已 经 发 
生 在 系统 中 的 错误 或 病毒 感染 的 源头 ， 从 而 提高 安全 性 。 更 改 提示 以 使 从 用 户 那里 得 到 的 
信息 更 加 清晰 ， 是 一 种 不 需要 任何 重新 编码 的 安全 人 和 修复， 特别 是 当 这 些 提示 存在 于 外 部 文 
件 中 时 。 更 新 的 本 质 是 使 应 用 程序 在 某 些 方面 变 得 更 好 ， 从 而 可 能 不 再 需要 代码 修复 了 。 
重要 的 是 要 知道 何 时 区 分 升级 和 更 新 ， 所 以 本 章 首 先 会 比较 这 两 个 过 程 以 及 它们 如 何 影响 
应 用 程序 。 


更 新 不 总 是 能 修复 安全 问题 ， 就 如 升级 有 时 候 是 多 余 的 。 为 了 有 效 利用 公司 资源 ， 你 需要 
知道 何 时 进行 一 次 更 新 以 及 何 时 确实 需要 进行 一 次 升级 。 第 13 章 描 述 了 升级 过 程 并 描述 
了 这 一 过 程 的 一 些 细节 。 本 章 会 比较 更 新 与 升级 ， 并 帮助 你 理解 更 新 过 程 是 如 何 工 作 的 。 
更 新 可 以 分 为 儿 类 。 例 如 ， 你 可 以 选择 更 新 编程 语言 套件 。 新 的 套件 可 以 提供 更 好 的 调 
试 、 经 过 优化 的 代码 输出 以 及 更 快 的 可 执行 文件 。 这 些 特 性 没有 一 个 会 直接 影响 应 用 程序 
代码 ， 但 它们 确实 能 影响 应 用 程序 的 工作 。 只 要 重新 编译 应 用 程序 模块 就 能 让 所 有 人 看 到 
它 的 效果 。 


在 某 些 情况 下 ， 你 需要 进行 紧急 更 新 。 推 行 更 新 管理 是 很 困难 的 ， 因 为 更 新 常常 根本 不 会 
影响 应 用 程序 代码 。 在 不 改变 任何 一 行 代码 的 情况 下 ， 你 很 难 告诉 管理 层 你 需要 时 间 、 资 
源 和 人 力 来 进行 一 次 更 新 。 在 你 真正 进行 了 更 新 并 以 量化 投资 回报 的 方式 向 管理 层 展示 了 
更 新 的 效果 之 前 ， 尝 试 展示 更 新 的 好 处 也 是 很 难 的 。 

与 升级 一 样 ， 你 需要 测试 更 新 。 但 是 ， 某 些 更 新 测试 与 升级 测试 有 很 大 的 不 同 ， 因 为 进行 
更 新 时 不 必 处 理 代码 。 总 之 ， 本 章 会 针对 这 种 类 型 的 更 新 给 你 完整 的 入 门 引 导 ， 使 你 可 以 
更 好 地 判断 何 时 使 用 更 新 和 升级 。 
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14.1 区 分 升级 和 更 新 


升级 和 更 新 都 会 影响 应 用 程序 的 安全 性 。 但 是 ， 升 级 与 更 新 在 范围 和 目标 上 有 很 大 的 不 
同 ， 所 以 区 分 两 者 的 不 同 是 很 重要 的 。 比 起 更 新 来 说 ， 大 部 分 升级 会 创建 重要 的 新 功能 并 
在 较 深 层次 上 影响 代码 基础 。 事 实 上 ,许多 更 新 完全 不 会 触及 代码 。 更 新 会 执行 诸如 以 下 
这 些 任务 。 
。 更 改 应 用 程序 管理 的 数据 库 。 例 如 ， 一 个 提供 目录 信息 的 数据 库 可 能 会 有 一 个 对 描述 的 
更 新 ， 以 帮助 用 户 作 出 更 好 的 选择 。 
。 修改 现 有 特性 使 其 变 得 更 友好 或 不 易 出 错 。 例 如 ， 菜 单 输 入 现在 可 能 包含 快捷 键 ， 这 样 
用 户 就 不 必 去 猜 要 使 用 哪些 组 合 键 。 
。 重新 配置 UI 特性， 使 它们 更 好 地 满足 用 户 的 需求 。 更 新 可 能 会 包含 对 更 多 语言 的 支持 ， 
这 样 用 户 就 能 用 他 们 熟悉 的 语言 来 使 用 界面 ， 而 不 是 他 们 不 太 熟 悉 的 第 二 或 第 三 语言 。 
。 包含 更 多 特定 的 UI 选项， 比如 将 文本 输入 框 换 成 单 选 按 钮 ， 这 样 用 户 就 能 作出 特定 的 
选择 。 每 一 个 从 应 用 程序 中 移 除 的 元 素 都 自然 地 会 提升 应 用 程序 的 准确 度 和 安全 性 。 
在 大 部 分 情况 下 ， 从 开发 人 员 的 角度 来 说 ， 更 新 是 比较 微小 的 。 在 某 些 情况 下 ， 开 发 人 员 
很 可 能 不 需要 做 改动 。 例 如 ， 你 需要 DBA 提供 服务 去 更 新 数据 库 ， 而 不 是 依靠 开发 人 员 
来 做 这 件 事 。DBA 在 大 部 分 情况 下 可 以 更 快 和 更 精准 地 执行 这 项 任务 。 设 计 师 可 以 使 用 当 
今 可 用 的 一 些 编码 技术 来 作出 对 UI 的 更 改 ， 从 而 使 开发 人 员 完 全 不 需要 更 改 代码 。 但 是 ， 
当 要 对 更 新 进行 测试 以 确定 其 是 否 像 预期 那样 执行 时 ， 开 发 人 员 要 参与 其 中 。 有 时候 更 新 
也 需要 一 些 代码 调整 以 使 其 能 正常 工作 。 


即使 开发 人 员 没 有 明显 参与 到 更 新 过 程 中 ， 相 关 团 队 也 应 该 在 讨论 时 包含 开 
发 人 员 。 事 实 上 ， 更 新 与 升级 一 样 ， 应 该 得 到 开发 团队 中 所 有 利益 相关 者 的 
全 力 支持 。 这 个 过 程 要 包含 用 户 测 试 者 ， 他 们 会 验证 更 新 是 否 真 的 按 要 求 进 
行 ， 并 确定 更 新 没有 导致 明显 的 新 的 用 户 错 误 或 其 他 潜在 问题 (比如 使 用 户 
的 操作 减 慢 或 使 培训 成 本 激增 )。 
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升级 和 更 新 普遍 要 做 的 一 件 事 是 测试 。 某 些 公司 错误 地 认为 更 新 需要 较 少 测试 ， 或 可 能 完 
全 不 需要 测试 。 这 种 观点 带 来 的 问题 是 ， 将 更 新 放 到 生产 服务 器 上 很 可 能 会 出 问题 ， 而 测 
试 本 可 以 更 早 地 发 现 这 些 问题 并 更 容易 进行 修复 。 重 要 的 是 ， 要 记 住 测试 不 仅仅 是 检查 代 
码 ， 它 还 会 检查 诸如 用 户 在 某 些 级 别 上 可 能 无 法 与 应 用 程序 交互 这 样 的 问题 。 更 新 实际 上 
可 能 会 产生 新 的 安全 漏洞 ， 使 得 黑客 能 够 以 新 的 方式 (特别 是 当 更 新 涉及 新 的 UI 功能 时 ) 
与 应 用 程序 交互 。 但 是 ， 更 新 测试 的 重点 在 于 被 更 改 的 区 域 。 例 如 ， 你 仍然 要 测试 应 用 程 
序 的 每 个 方面 ， 但 如 果 UI 发 生 了 改变 ， 测 试 的 重点 就 要 放 在 UI 上 ， 并 且 你 要 在 这 个 方面 
做 更 多 的 检查 。 


某 些 更 新 会 超出 开发 团队 直接 监管 的 范围 。 例 如 ， 库 、API 或 微服 务 的 第 三 
方 更 新 可 能 会 自动 发 生 。 在 这 种 情况 下 ， 你 必须 进行 测试 ， 但 是 大 部 分 情况 
下 测试 实际 发 生 在 生产 系统 接受 了 更 新 之 后 。 回 退 更 新 估计 也 是 不 可 能 也 
所 以 破坏 性 的 变更 可 能 导致 公司 寻求 新 的 第 三 方 产品 或 进行 修复 该 问题 的 更 
新 。 因 此 ， 关 键 是 要 保持 跟踪 各 种 更 新 并 准备 在 任何 时 候 测 试 它们 。 
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14.2 ”确定 何 时 更 新 


第 三 方 软件 在 进行 更 新 时 可 能 会 出 现 问 题 。 当 修复 可 能 使 供应 商 面临 篮 座 时 ， 不 少 第 三 方 
供应 商会 尝试 悄悄 地 进行 而 不 通知 开发 团队 的 更 新 。 安 全 更 新 有 时 候 属 于 这 种 类 型 ， 它 们 
会 在 某 天 神奇 地 出 现 而 没有 人 能 真正 知道 第 三 方 供应 商 何 时 发 布 了 它们 。 这 些 更 新 会 滚 雪 
球 一 样 地 累计 并 导致 应 用 程序 停止 工作 ,或 者 更 糟糕 的 是 ， 开 始 以 不 可 预测 的 方式 工作 。 
你 对 软件 进行 的 更 新 或 者 第 三 方 供应 商 为 你 做 的 更 新 ， 都 需要 一 定 程度 的 计划 ， 即 使 当 第 
三 方 供 应 商 忘记 提 及 更 新 或 忘记 为 什么 要 更 新 时 。 你 需要 知道 一 些 变更 实际 上 是 属于 更 新 
而 不 是 升级 。 为 此 ， 接 下 来 会 讨论 一 些 在 确定 应 用 程序 是 否 需要 更 新 时 应 当 考 虑 的 问题 。 


14.2.1 处理 库 的 更 新 


库 的 更 新 是 最 困难 的 ， 因 为 库 会 成 为 应 用 程序 代码 的 一 部 分 。 因 为 你 直接 将 其 引入 到 应 用 
程序 中 ， 所 以 有 些 变化 难以 隐藏 。 此 外 ， 某 些 变 更 会 导致 奇怪 问题 的 出 现 ， 那 些 bug 一 直 
都 在 库 里 面 ， 但 从 来 没有 展现 出 来 ， 因 为 应 用 程序 以 不 同 的 方式 分 配 内 存 或 其 他 资源 。 在 
包含 新 库 之 后 ， 更 新 甚至 可 能 不 会 出 现在 应 用 程序 中 ， 因 为 调用 可 能 有 稍微 不 同 的 名 称 。 
对 于 你 想 进 行 的 各 种 库 的 更 新 来 说 ， 这 些 问 题 都 是 很 普遍 的 。 接 下 来 会 将 库 分 为 从 第 三 

集成 的 和 自己 开发 的 这 两 种 类 别 。 

1. 处 理 第 三 方 库 的 更 新 

当 处 理 第 三 方 更 新 时 ， 第 一 步 是 要 获取 变更 清单 ， 假 设 供应 商 提供 了 变更 清单 。 根 据 这 份 
清单 来 确定 哪些 变更 确实 会 影响 到 应 用 程序 。 在 你 制订 计划 进行 变更 之 前 ， 使 用 单元 测试 
来 帮忙 确定 文档 中 写 的 变更 是 否 能 够 真实 反映 函数 中 的 变化 。 


遗憾 的 是 ， 这 份 清单 不 会 告诉 你 一 些 问 题 ， 比 如 改变 名 称 不 会 以 变更 的 形式 出 现 。 在 许多 
情况 下 ， 供 应 商会 将 名 称 的 变更 作为 一 种 新 特性 。 因 此 ， 你 还 必须 检查 新 特性 列表 ， 查 找 
你 已 使 用 的 函数 变更 后 实现 的 特性 。 例 如 ， 新 特性 使 用 名 称 MyspecialFunction2() 替代 了 
MySpecialFunction()。 这 个 变化 能 够 反映 出 新 特性 ， 这 意味 着 你 必须 仔细 检查 该 更 新 ， 以 
确保 你 理解 其 对 代码 造成 的 结果 。 


如 有 果 你 能 获得 代码 的 副本 ， 可 以 使 用 静态 测试 技术 来 更 好 地 理解 供应 商 对 库 做 出 的 变更 。 
通过 调试 器 来 运行 代码 ， 看 看 代码 的 行为 也 是 很 有 帮助 的 。 在 许多 情况 下 你 可 能 没有 这 些 
选项 可 选 ,但 考虑 一 下 它们 并 没有 什么 坏处 。 

2. 处 理 内 部 库 的 更 新 

执行 内 部 库 的 更 新 可 以 让 你 对 更 新 过 程 有 更 多 的 控制 。 你 可 以 执行 各 种 级 别 的 测试 ， 因 为 
你 自己 拥有 代码 。 最 重要 的 就 是 能 用 文档 完整 记录 更 新 引起 的 每 一 种 更 改 ， 这 样 你 在 后 面 
就 不 会 遇 到 可 靠 性 和 安全 性 问题 。 当 更 新 改变 了 函数 的 工作 方式 而 代码 继续 用 旧 的 方法 来 
使 用 函数 时 ， 许 多 安全 问题 就 会 发 生 。 这 种 不 匹配 的 情况 会 导致 安全 漏洞 。 

一 种 更 糟糕 的 情况 出 现在 更 新 对 函数 进行 了 重 命名 ， 却 缺少 文档 从 而 导致 使 用 这 个 库 的 人 
员 继 续 使 用 旧 的 函数 名 。 基 结果 是 开发 这 个 库 的 团队 知道 这 个 库 包含 了 一 个 安全 修复 ， 但 
开发 应 用 程序 的 团队 并 不 知道 这 个 修复 的 存在 。 黑 客 事实 上 会 在 可 能 的 时 候 检 查 这 种 库 的 
变更 并 利用 这 种 不 匹配 来 发 现 安全 问题 。 利 用 不 匹配 的 情况 会 比 真 正 寻 找 编码 错误 更 容 
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易 ， 因 为 重 命名 的 函数 就 像 灯 塔 广告 一 样 告诉 黑客 有 修复 存在 。 
请 使 用 静态 测试 来 确保 文档 中 的 变更 确实 能 匹配 库 里 面 的 代码 变更 。 在 进行 了 静态 测试 之 
后 ， 要 使 用 单元 测试 来 验证 这 些 修复 是 否 能 正常 工作 。14.5 市 提供 了 关于 测试 过 程 的 额外 


信息 。 
































最 糟糕 的 安全 漏洞 是 所 有 人 都 认为 进行 了 某 项 修复 ， 但 其 实 修复 并 不 存在 、 
无 法 正常 工作 或 者 开发 人 员 没 有 在 应 用 程序 中 实现 它 。 要 以 持续 的 方式 验证 
开发 人 员 确 实 实施 了 更 新 。 即 使 一 个 修复 无 法 正常 工作 ， 持 续 的 实施 可 以 让 
接 下 来 的 更 新 更 加 容易 实现 ， 因 为 每 个 人 都 在 以 相同 的 方式 使 用 函数 。 



































14.2.2 “处理 API 和 微服 务 的 更 新 


API 和 微服 务 都 会 遇 到 同样 的 问题 ， 即 它们 在 大 部 分 情况 下 都 像 黑 盒 一 样 工作 。 有 可 能 在 
没有 任何 人 知道 的 情况 下 进行 一 次 更 新 。 某 些 供应 商 在 过 去 确实 是 这 么 干 的 ， 并 且 在 处 理 
内 部 代码 的 时 候 也 发 生 过 这 种 情况 。 当 API 或 微服 务 无 法 正常 工作 时 ， 黑 盒 会 导致 各 种 问 
题 。 要 追踪 责任 人 是 很 困难 的 。 为 此 ， 很 重要 的 是 要 确保 开发 团队 对 API 或 微服 务 调用 的 
内 部 运作 的 每 次 变更 都 进行 文档 记录 ， 并 且 要 保证 对 于 给 定 的 输入 要 得 到 相同 的 输出 。 接 
下 来 会 讨论 第 三 方 与 内 部 更 新 的 区 别 。 

应 用 开发 人 员 会 把 对 API 或 微服 务 的 信任 建立 在 这 样 的 基础 之 上 ， 就 是 能 够 
保证 对 于 一 个 给 定 的 输入 ， 其 输出 能 够 保持 相同 。 一 次 更 新 可 以 使 调用 更 加 
安全 、 快 速 或 可 靠 ,但 它 不 能 改变 输出 。 如 果 一 次 更 新 改变 了 一 个 接口 的 任 
何 元 素 ， 那 你 需要 创建 新 的 调用 来 访问 这 个 元 素 。 这 个 方法 确保 开发 人 员 为 
了 获得 更 新 带 来 的 好 处 ， 将 需要 发 起 新 的 调用 。 



























































1. 处 理 第 三 方 API 和 微服 务 的 更 新 
当 处 理 第 三 方 API 和 微服 务 代码 时 ， 你 无 法 访问 任何 更 新 代码 且 无 法 进行 任何 类 型 的 静态 
测试 。 你 可 以 做 的 就 是 执行 密集 型 单元 测试 来 确保 以 下 这 些 考虑 事项 是 真 的 。 


。 对 于 给 定 的 输入 ， 每 一 个 调用 都 能 产生 在 原先 指定 范围 内 的 正常 输出 。 

。 调用 不 能 接收 原先 指定 范围 外 的 输入 。 

。 任何 涉及 利用 代码 (确保 安全 措施 能 够 工作 ) 的 测试 都 要 失败 。 

。 速度 测试 显示 调用 能 够 在 原来 的 时 间 容 许 范围 内 ， 或 者 更 快 地 成 功 完成 任务 。 

。 可 靠 性 测试 显示 调用 不 会 在 高 负载 下 失败 。 

。 任何 文档 中 记录 的 对 代码 的 变更 确实 能 正常 工作 。 

2. 进行 内 部 API 和 微服 务 的 更 新 

对 于 内 部 更 新 ， 总 是 要 将 进行 静态 测试 作为 首要 的 测试 方法 。 在 这 个 过 程 中 ， 你 要 验证 文 
档 与 代码 的 变更 能 够 完全 匹配 。 更 新 中 的 一 个 重要 问题 是 API 或 微服 务 的 开发 团队 认为 更 
新 会 以 某 种 方式 工作 ， 但 它 实 际 上 却 以 另外 的 方式 运行 。 将 文档 中 的 更 新 与 故障 单 进行 匹 
配 以 确保 修复 解决 了 故障 单 中 的 问题 也 是 一 个 好 的 做 法 。 这 种 可 见 的 检查 过 程 可 能 看 起 来 
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很 花 时 间 ， 但 执行 它 通常 会 使 后 续 的 测试 更 加 容易 ， 并 且 能 够 降低 安全 问题 悄悄 湾 入 代码 
中 的 可 能 性 。API 和 微服 务 代码 的 墨盒 特性 使 得 对 它们 进行 静态 测试 甚至 比 库 更 加 重要 。 
内 部 代码 也 会 有 益 于 某 些 第 三 方 代码 的 检查 〈 详 见 14.2.2 节 )。 但 是 ， 你 现在 可 以 对 手 里 
的 代码 执行 这 些 检查 以 更 好 地 理解 为 什么 有 些 检查 会 失败 。 

处 理 微服 务 更 新 时 的 一 个 环 手 问题 是 许多 公司 现在 依靠 微服 务 API 来 使 各 种 微服 务 看 起 来 像 
是 一 个 自 定义 的 API。 微 服务 API 的 使 用 可 以 降低 开发 人 员 的 编程 困难 ， 并 确保 每 个 平台 通 
过 使 用 提供 给 该 平台 的 协议 拥有 所 需 的 资源 。 图 14-1 展示 了 一 个 典型 的 微服 务 API 架构 。 
























































微服 务 API 网 关 


.RpC | 客户 关系 管 
JSON-RPC 理 服务 
浏览 Websock 
的 Sees | WAMP | 客户 订单 服务 














14-1: 当 使 用 微服 务 API 时 ， 也 要 测试 API 


直接 测试 各 种 微服 务 以 确保 更 新 没有 改变 微服 务 原生 的 工作 方式 是 很 关键 的 。 但 是 ， 你 还 
必须 测试 微服 务 API 是 否 仍然 能 正确 地 响应 应 用 程序 支持 的 所 有 平台 类 型 。 否 则 ， 你 无 法 
确定 微服 务 API 会 继续 以 安全 和 可 靠 的 方式 提供 正确 的 结果 。 


14.2.3 ”接受 自动 更 新 

某 些 供应 商 现在 令 忽 略 自 动 更 新 变 得 很 难 。 自 动 更 新 是 供应 商 以 某 种 方式 推送 到 客户 端的 
更 新 。 在 革 些 情况 下 ， 供 应 商 简单 地 在 服务 器 上 变更 软件 ， 这 样 你 最 终 会 自动 使 用 更 新 。 
以 下 是 供应 商 喜 欢 自 动 更 新 的 主要 理由 。 

。 减少 由 于 使 用 过 时 版 本 产生 的 安全 性 和 可 靠 性 问题 

。 减少 支持 成 本 

。 较 少 的 人 工 需求 

。 提升 投资 回报 率 (ROI) 

当然 ， 问 题 不 在 于 自动 更 新 是 否 对 供应 商 有 好 处 ， 而 在 于 它们 是 否 对 你 的 公司 有 好 处 。 在 
许多 情况 下 ,使 用 自动 更 新 证 明 是 有 问题 的 ， 因 为 公司 并 没有 准备 好 更 新 且 破 坏 性 的 变更 
通常 会 导致 支持 问题 。 最 常见 的 几 种 情况 会 导致 数据 丢失 或 安全 漏洞 ， 这 与 最 开始 进行 更 
新 的 目的 相悖 。 

为 了 减 小 产生 意料 之 外 的 副作用 的 几率 ， 大 部 分 公司 都 尝试 在 可 能 的 时 候 避 免 自动 更 新 。 
当 第 三 方 供应 商 坚持 自动 更 新 而 你 没有 这 个 第 三 方 软件 的 替代 产品 时 ， 那 你 真 的 需要 有 人 
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跟 进 第 三 方 软件 以 确定 自动 更 新 将 在 何 时 发 生 。 立 刻 测 试 更 新 可 以 帮 你 避免 破坏 性 更 新 的 
问题 ,并 且 也 可 以 六 在 地 提升 公司 应 对 突 发 变更 的 能 














14.3 ”更 新 语言 套件 


Web 应 用 程序 属于 这 样 的 一 种 类 别 ， 使 用 任何 一 种 语言 的 用 户 都 能 在 搜索 其 他 东西 的 时 候 
发 现 它们 。 你 开发 的 任何 公开 的 应 用 程序 ， 即 使 你 是 专 为 某 一 个 团体 的 使 用 而 开发 的 ， 也 








是 处 在 互联 网 的 世界 舞台 上 ， 来 自任 何 地 方 的 任 











可 人 都 能 够 访问 它 。 到 














E 论 上 ， 你 可 以 尝试 


阻挡 访问 ， 但 这 是 一 个 会 起 到 反作用 的 策略 。 如 果 你 突然 发 现 应 用 程序 正在 接受 来 自 你 从 
来 没有 想象 到 的 地 方 的 赞美 ， 你 可 能 需要 一 次 应 用 程序 更 新 来 解决 与 语言 相关 的 问题 。 接 
下 来 会 讨论 某 些 你 需要 考虑 的 问题 ， 特 别 是 在 要 维护 一 个 安全 的 应 用 环境 时 。 





14.3.1 创建 语言 支持 清单 


不 是 每 一 个 应 用 程序 都 会 支持 世界 上 的 所 有 语言 。 演 试 这 样 做 会 是 一 个 逻辑 焉 梦 ， 并 且 也 
不 需要 ， 因 为 不 是 所 有 人 都 会 真 的 想 要 使 用 你 的 应 用 程序 。 但 是 ， 当 应 用 程序 变 得 较为 热 





门 时 ， 你 可 能 会 发 现 你 需要 支持 不 止 一 种 语言 。 现 代 的 服务 器 软 作 











通常 可 以 跟踪 访问 应 用 


程序 的 位 置 。 位 置 本 身 可 能 不 会 提供 你 所 需要 所 有 东西 。 例 如 ， 你 可 能 会 惊讶 地 发 现 罗马 


尼 亚 有 很 多 官方 语言 ， 如 下 所 示 。 
。 罗马 尼 亚 语 

。 克罗地亚 语 

。 德语 

。 匈牙利 语 

。 罗马 尼 语 

。 俄语 

。 塞尔维亚 语 

。 期 洛 伐 克 语 

。 乌克兰 语 





然而 ， 这 些 只 是 官方 语言 。 你 的 应 用 程序 的 用 户 可 能 实际 上 使 用 着 一 种 不 同 的 语言 ， 比 如 
意大利 语 。 不 可 能 仅仅 基于 位 置 就 能 准确 知道 要 支持 哪 种 语言 。 关 键 是 如 果 你 突然 发 现 应 
用 程序 正在 收 到 大 量 来 自 罗马 尼 亚 的 请 求 ， 你 可 以 意识 到 用 户 的 母语 不 太 可 能 是 英语 (或 
者 可 能 根本 不 会 讲 英语 )。 如 果 你 的 应 用 程序 只 支持 英语 ， 那 么 你 可 能 会 发 现 用 户 会 迷惑 、 











犯错 并 且 可 能 会 导致 安全 和 可 靠 性 问题 。 

















能 要 支持 所 有 的 官方 语 


在 某 些 情况 下 ， 你 可 以 根据 应 用 程序 的 环境 来 假设 要 支持 的 语言 。 例 如 ， 一 
个 在 美国 的 私有 环境 中 运行 的 应 用 程序 ， 可 能 只 需要 支持 英语 和 西班牙 语 。 
当 应 用 程序 在 罗马 尼 亚 运 行 时 ， 你 可 


言 以 确保 每 个 人 

















都 能 访问 你 的 应 用 程序 。 考 虑 应 用 程序 环境 是 创建 语言 支持 清单 的 一 个 重要 


部 分 。 
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使 用 位 置信 息 会 为 你 提供 一 个 良好 的 开端 ， 但 你 需要 以 某 些 其 他 方式 获取 语言 统计 信息 。 
确保 你 能 获得 良好 数据 的 唯一 有 效 方式 大 概 就 是 提供 反馈 表单 或 进行 用 户 调查 。 当 计算 关 
于 应 用 程序 使 用 的 统计 数据 时 ， 你 会 看 到 其 译 现 出 来 的 模式 并 可 以 开始 确定 要 支持 哪些 语 
言 。 创 建 一 个 支持 语言 的 清单 是 很 重要 的 ， 因 为 你 需要 知道 哪些 语言 你 真 的 可 以 作为 更 新 
的 一 部 分 提供 ， 并 且 你 要 确保 你 的 首要 目标 是 那些 最 常用 的 语言 。 


当 要 进行 一 次 更 新 以 支持 多 种 语言 时 ， 你 通常 要 为 每 种 语言 提供 不 同 的 
URL。 否 则 ， 一 个 人 几乎 不 可 能 找到 他 所 需要 的 语言 。 此 外 ， 使 用 不 同 的 
URL 可 以 检测 浏览 器 提供 的 信息 并 为 用 户 作 出 合理 的 语言 选择 。 下 面 是 两 种 
常见 的 为 每 种 语言 创建 唯一 URL 的 方法 。 
4 与 语言 相关 的 URL 
相同 的 域名 支持 不 同 的 语言 。 比 如 一 个 http://www.mysite.com/en/stuff.html 
这 样 的 URL 会 支持 英语 ， 而 http://www.mysite.com/de/stuff.html 则 会 支持 
德语 。 这 种 方法 的 好 处 是 你 不 需要 购买 多 个 顶级 域名 (top-level domains， 
TLD)， 从 而 可 以 省 下 一 笔 钱 。 这 种 方法 的 关注 点 在 语言 。 
4 多 个 顶级 域名 
每 一 种 语言 都 有 它 自己 的 域名 。 一 个 像 http:/www.mysite.us/stuff.html 这 样 
的 URL 支持 在 美国 的 用 户 ， 而 http://www.mysite.ro/stuff.html 会 支持 在 罗 
马 尼 亚 的 用 户 。 这 种 方法 的 好 处 是 ， 搜 索引 擎 (比如 Google) 会 为 每 一 种 
语言 提供 一 个 单独 的 链接 ， 而 不 是 将 所 有 语言 都 作为 重复 的 内 容 且 只 显示 
一 个 链接 。 这 个 方法 的 关注 点 在 国家 /地 区 。 你 可 以 在 Wikipedia (https:// 
en.wikipedia.org/wiki/List_of_Internet_top-level_domains) 上 找到 TLD 列表 。 

































































14.3.2 ”获得 可 靠 的 语言 专家 

如 有 果 你 选择 对 应 用 程序 进行 语言 相关 的 更 新 ， 只 有 当 更 新 看 起 来 就 像 是 你 用 目标 语言 重 写 
了 原来 的 内 容 时 ， 你 才能 保证 它 可 以 可 靠 和 安全 地 工作 。 每 个 人 都 处 理 过 这 种 指令 或 其 他 
的 书面 交流 ， 就 是 某 人 原来 以 一 种 语言 书写 ， 然 后 翻译 成 你 所 讲 的 语言 。 当 翻译 器 执行 得 
不 如 普通 水 平时 ， 结 果 常 常 是 很 请 稽 的 。 各 种 信息 背后 的 真正 意义 会 丢失 且 没 人 能 够 重视 
信息 。 但 是 ， 这 种 误解 导致 的 安全 问题 非 同 小 可 。 


然而 ， 如 果 你 无 法 提供 进行 翻译 的 正确 环境 ， 即 使 是 最 棒 的 翻译 人 员 也 做 不 出 最 好 的 工 
作 。 以 下 步骤 会 带 你 深入 了 解 一 些 你 能 用 于 创建 更 好 的 应 用 程序 翻译 的 技术 ， 并 因此 确保 
用 户 真 的 能 遵从 你 的 引导 。 


(1) 将 所 有 在 应 用 程序 中 硬 编码 的 字符 串 放 置 在 某 种 类 型 的 数据 库 中 ， 通 过 在 应 用 程序 中 的 
位 置 来 标识 每 个 字符 串 。 

(2) 将 每 个 硬 编码 字符 串 用 占 位 符 控制 替换 ， 当 页 面 加 载 时 你 可 以 用 正确 语言 的 字符 串 填 充 。 

(3) 为 每 一 种 语言 创建 一 个 单独 的 数据 库 文件 并 确保 数据 库 名 称 能 反映 语言 内 容 。 

(4) 用 翻译 人 员 提 供 的 翻译 后 的 字符 串 填充 每 个 语言 数据 库 。 为 每 一 个 字符 串 准 确 地 使 用 相 
同 的 标识 符 ， 这 样 该 标识 符 总 是 能 匹配 屏幕 提示 。 
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(5) 给 应 用 程序 添加 代码 以 执行 任务 ， 用 来 自 数 据 库 的 正确 提示 符 填 充 占 位 符 。 
(6) 开始 用 原来 的 语言 测试 应 用 程序 以 确保 提示 符 能 正常 工作 。 


对 语言 更 新 进行 二 次 检查 通常 是 一 个 好 主意 ， 特 别 是 当 公 司 里 没有 人 能 地 道 
地 讲 那 门 语言 的 时 候 。 在 进行 翻译 时 通常 会 有 潜在 的 错误 。 此 外 ， 你 需要 考 
虑 讲 这 门 语言 的 人 的 社会 习俗 。 最 环 手 的 问题 在 于 某 些 语言 对 于 一 些 词 没有 
直接 的 翻译 。 因 此 ， 你 必须 选择 正确 的 近义词 ， 然 后 确保 不 会 对 近似 翻译 产 
生 误解 。 对 翻译 进行 独立 的 检查 ， 除 了 能 够 通过 降低 输入 错误 的 可 能 性 而 使 
应 用 程序 更 安全 之 外 ， 还 会 避免 以 后 的 窘迫 。 


14.3.3 ”验证 与 语言 相关 的 提示 符 能 否 在 应 用 程序 中 起 效 
简单 地 翻译 提示 符 在 多 数 情 况 下 是 不 够 的 。 你 需要 依靠 语言 专家 来 确保 屏幕 上 的 每 个 提示 
都 能 反映 出 母语 者 期 望 如 何 看 到 这 些 提 示 。 例 如 ， 有 些 语言 是 从 左 向 右 读 的 ， 而 有 些 是 从 
右 向 左 读 的 。 提 示 的 方向 是 很 重要 的 ， 正 如 格式 化 一 样 。 你 可 能 需要 提供 应 用 程序 提示 及 
格式 来 确保 使 用 应 用 程序 的 用 户 能 真正 正确 理解 提示 。 


14.3.4 ”确保 数据 以 正确 的 格式 呈现 


世界 上 的 不 同 区 域 会 用 不 同 的 方式 来 格式 化 数据 。 某 些 国家 /地 区 会 使 用 和 喜 号 而 不 是 句号 
来 表示 小 数 。 同 样 ， 这 些 国家 /地 区 可 能 会 使 用 句号 而 不 是 逗号 来 作为 千 位 指示 。 想 象 一 
下 在 这 种 情况 下 ， 如 果 用 户 基 于 错误 格式 更 改 了 数值 会 发 生 什么 。 用 户 可 能 会 输入 一 些 值 
导致 应 用 程序 错误 执行 、 崩 溃 或 只 是 做 一 些 奇 怪 的 事情 。 其 结果 可 能 会 是 一 个 安全 漏 铜 或 
是 黑客 制造 安全 漏 调 的 开端 。 许 多 安全 问题 都 产生 自 看 起 来 愚蠢 的 错误 ， 黑 客 可 以 利用 其 
来 获得 很 小 的 好 处 ， 但 却 会 导致 很 大 的 损失 。 


以 正确 的 形式 展示 数据 可 以 确保 不 会 产生 误解 。 仅 仅 因为 逗号 和 句号 之 间 的 混乱 而 造成 淤 
在 的 安全 问题 ， 这 看 起 来 似乎 是 你 能 轻易 解决 的 问题 ,但 有 了 时候 却 证 明 是 异常 困难 的 。 你 
可 以 在 网 页 http://docs.oracle.com/cd/E19455-01/806-0169/overview-9/index.html 上 找到 关于 
各 种 语言 的 千 位 提示 符 和 小 数 点 的 例子 。 在 网 页 http://www .statisticalconsultants.co.nz/blog/ 
how-the-worldseparates-its-decimals.html 上 的 图 形 指示 也 很 有 趣 。 


14.3.5 ”定义 语言 支持 测试 的 特殊 要 求 
当 你 开始 添加 多 种 语言 的 时 候 ， 测 试 应 用 程序 会 变 得 困难 得 多 。 除 非 你 计划 让 那些 语言 
家 在 应 用 程序 的 生命 周期 中 一 直 提 供 支持 ， 否 则 你 需要 一 些 其 他 方法 来 验证 更 新 不 会 导致 
语言 支持 问题 。 合 适 的 计划 、 变 更 文档 以 及 用 原来 的 语言 进行 验证 是 最 佳 的 开端 。 任 何 时 
候 ， 如 果 你 对 应 用 程序 进行 的 变更 会 影响 原 有 语言 的 提示 ， 那 你 必须 考虑 也 要 改变 所 有 其 
他 支持 的 语言 的 提示 。 要 使 这 个 过 程 尽 可 能 简单 ， 请 采用 以 下 这 些 建议 。 
。 计划 
确保 你 仔细 检查 了 每 一 处 改变 。 有 时 候 设 计 师 会 尝试 调整 这 些 提示 ， 而 实际 上 并 不 需要 
做 出 任何 改变 。 尽 可 能 减少 变更 数量 会 降低 成 本 ， 确 保 应 用 程序 保持 可 靠 ， 并 能 通过 减 
少 失误 来 帮忙 提升 安全 性 。 
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。 文档 
对 原 有 语言 的 每 个 提示 的 改变 都 必须 同步 到 应 用 程序 支持 的 其 他 每 一 种 语言 中 。 当 语言 
版 本 不 同步 时 ， 安 全 和 可 靠 问 题 也 会 开始 出 现 。 更 新 过 程 的 这 一 部 分 能 够 顺利 无 误 地 运 
行 是 很 关键 的 ， 否 则 你 又 需要 聘请 语言 专家 来 处 理 混乱 。 








。 验证 
很 难 确保 每 一 个 改变 都 确实 发 生 了 ， 因 为 你 可 能 没有 会 使 用 你 所 要 支持 的 语言 的 员 
工 。 验 证 语言 更 新 的 一 个 好 方法 是 使 用 屏幕 快照 。 比 较 原 来 的 屏幕 和 更 新 后 的 屏幕 来 
验证 提示 真 的 发 生 了 改变 。 这 种 方法 的 唯一 问题 在 于 你 无 法 保证 改变 的 提示 是 完全 正 
确 的 。 














由 于 应 用 程序 使 用 提示 的 方式 ， 你 无 需 测 试 每 一 种 语言 的 底层 代码 。 你 对 每 
一 种 语言 做 的 变更 是 在 界面 上 ， 而 这 也 是 你 测试 与 语言 相关 的 问题 要 关注 的 
地 方 。 确 保 你 能 获得 好 的 提示 且 那 些 提示 出 现在 正确 的 地 方 是 语言 支持 测试 
的 基础 。 











14.4 执行 紧急 更 新 


升级 通常 是 精心 策划 和 排 期 的 。 大 部 分 升级 也 会 有 合适 的 计划 和 时 间 安 排 。 但 是 当 黑 客 刚 
刚 让 你 的 应 用 程序 暴露 了 一 些 需要 立即 响应 的 可 怕 漏 洞 时 ， 有 时 候 更 新 无 法 等 待 ， 此 时 你 
必须 创建 一 个 临时 的 修复 并 立刻 发 布 它 ， 否 则 就 要 承担 后 果 。 没 有 人 喜欢 紧急 情况 。 应 用 
程序 越 关 键 且 受 影响 的 数据 越 敏 感 ， 人 们 就 越 不 喜欢 紧急 情况 。 接 下 来 的 几 小 闻 内 容 有 助 
于 处 理 在 深夜 潜伏 着 、 等 待 着 你 的 防卫 下 降 时 出 现 的 紧急 情况 。 


14.4.1 尽 可 能 避免 紧急 情况 

每 个 人 在 应 用 程序 支持 过 程 中 的 某 个 市 点 上 都 会 遇 到 紧急 情况 。 这 是 很 正常 的 。 但 是 提前 
做 好 计划 ， 你 可 以 避免 大 部 分 的 紧急 情况 。 以 下 是 在 避免 紧急 情况 发 生 时 需要 考虑 的 一 些 
问题 。 

。 在 发 布 之 前 对 每 个 更 新 和 升级 执行 完整 的 测试 。 

。 只 有 当 系 统 负载 和 能 力 可 以 支持 的 时 候 才 发 布 更 新 和 升级 。 

。 避免 在 只 有 低级 别 员工 在 场 或 关键 人 物 缺 席 的 情况 下 发 布 更 新 和 升级 。 

。 如 果 可 能 ， 确 保 应 用 程序 能 够 访问 来 自 多 种 来 源 的 所 有 必需 的 资源 。 

。 制订 预 留 生 产 力 的 计划 并 确保 你 有 足够 的 额外 能 力 来 满足 紧急 的 需求 。 

。 假设 黑客 会 在 最 糟糕 的 时 间 发 起 攻击 并 ( 尽 可 能 地 ) 提前 为 这 个 攻击 做 好 计划 。 

。 定时 测试 系统 的 安全 性 和 可 靠 性 。 


14.4.2 组建 快速 响应 团队 


你 的 公司 需要 一 个 快速 响应 团队 ， 即 一 组 随 叫 随 到 来 处 理 紧 急 情 况 的 人 。 这 个 团队 不 需要 
一 直 都 是 相同 的 人 员 ， 因 为 每 个 人 都 需要 休息 ， 但 你 应 该 一 直 都 有 这 么 一 个 可 用 的 紧急 响 
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应 团队 ， 特 别 是 在 那些 黑客 喜欢 攻击 的 时 间 (比如 周末 )。 一 个 紧急 响应 团队 需要 包含 应 
用 程序 进行 各 种 更 新 时 需要 的 所 有 人 员 。 如 果 你 平时 需要 一 名 DBA 来 进行 更 新 ， 那 紧急 
响应 团队 就 需要 一 名 DBA。 这 个 团队 应 该 为 处 理 紧 急 情况 一 起 参加 专门 的 培训 ， 以 确保 在 
紧急 情况 发 生 时 他 们 都 做 好 了 准备 。 


永远 不 要 将 进行 升级 作为 处 理 紧 急 情 况 的 方法 。 升 级 会 深 次 地 影响 代码 ， 而 
你 无 法 在 紧急 情况 下 用 很 短 的 响应 时 间 进 行 适当 的 测试 。 当 你 在 未 经 适当 
测试 的 情况 下 发 布 升级 时 ， 很 可 能 会 包含 黑客 非常 喜欢 的 某 些 bug。 你 要 始 
终 稳 扎 稳 打 ， 仅 将 紧急 措施 用 于 可 通过 升级 解决 的 问题 。 



























































14.4.3 ”执行 简化 的 测试 

根据 紧急 情况 的 特性 ， 你 可 能 必须 在 发 布 更 新 前 进行 少量 测试 。 至 少 ， 你 必须 测试 更 新 
会 直接 影响 的 代码 ， 可 能 还 要 测试 其 周边 的 代码 。 当 黑客 闯 进 来 时 ， 你 可 能 没有 时 间 像 
平常 那样 对 代码 的 每 个 部 分 都 进行 测试 。 重 要 的 是 要 记 住 你 未 发 布 的 更 新 可 能 会 牵制 住 
黑客。 这 就 归结 到 一 个 平衡 风险 的 问题 ， 一 边 是 紧急 情况 而 另 一 边 是 可 能 会 制造 出 更 粳 
糕 的 问题 。 


14.4.4 制订 持久 的 更 新 计划 


永远 要 将 紧急 更 新 作为 临时 的 方案 。 你 无 法 知道 快速 响应 团队 在 发 布 更 新 时 会 是 多 么 勿 
忙 。 在 这 个 过 程 中 整个 团队 可 能 会 制造 各 种 错误 。 即 使 更 新 生效 了 ， 你 也 不 能 放任 紧急 更 
新 不 管 ， 不 进行 后 续 的 审查 。 放 任 紧 急 更 新 不 管 会 打开 你 可 能 并 不 知道 的 安全 性 和 可 靠 性 
漏洞 ， 并 可 能 在 将 来 给 你 造成 相当 大 的 问题 。 


事后 对 紧急 情况 进行 走 查 ， 确 定 是 什么 原因 导致 了 它 ， 并 考虑 快速 响应 团队 
是 如 何 响 应 的 是 一 个 好 的 做 法 。 通 过 走 查 ， 你 可 以 总 结 经 验 教训 以 便 将 来 处 
理 紧急 情况 。 黑 客 肯定 会 持续 提升 他 们 的 技能 水 平 ， 所 以 你 也 必须 提升 技能 
水 平 。 花 时 间 理 解 紧急 情况 并 寻找 更 好 的 处 理 方法 是 组 建 一 个 更 好 的 快速 响 
应 团队 的 有 价值 的 方式 。 





































































































作为 持久 更 新 过 程 的 一 部 分 ， 请 确保 对 更 新 进行 静态 测试 ， 以 验证 快速 响应 团队 作出 了 
适当 的 响应 并 很 好 地 修复 了 问题 。 确 保 尽 快 对 持久 更 新 做 出 计划 ， 以 保证 在 别人 利用 其 
他 问题 之 前 修复 它们 。 新 的 更 新 应 该 依赖 所 有 平常 的 测试 过 程 并 遵循 你 为 持久 更 新 制订 
的 计划 。 


4 St by 
14.5 制订 更 新 测试 计划 
无 论 你 如 何 创 建 更 新 或 时 间 安 排 ， 在 没有 测试 的 情况 下 匆忙 发 布 更 新 是 不 值得 的 。 匆 忙 
发 布 更 新 最 后 几乎 总 是 会 导致 问题 。 事 实 上 ， 匆忙 发 布 更 新 产生 的 问题 通常 比 不 进行 更 
新 带 来 的 问题 更 糟糕 。 测 试 会 迫使 你 慢 下 来 ， 重 新 检查 创建 更 新 的 思维 过 程 。 如 果 使 用 
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正确 ， 测 试 可 以 确保 团队 成 员 与 你 一 样 确定 更 新 是 可 靠 的 ， 且 不 会 导致 最 终 成 为 安全 可 
梦 的 问题 。 
更 新 测试 不 会 遵循 跟 升级 测试 完全 一 样 的 模式 ， 因 为 你 在 更 新 期 间 对 应 用 程序 的 改变 要 少 
一 些 ， 并 且 可 以 将 大 部 分 精力 聚焦 于 被 改变 的 特性 。 此 外 ， 你 可 能 会 在 一 次 紧急 情况 中 进 
行 更 新 ， 并 且 需 要 尽快 实施 这 些 更 新 以 防止 出 现 重大 的 安全 漏洞 。 为 此 ， 你 必须 执行 以 下 
这 些 级 别 的 测试 以 确保 更 新 不 会 鸡 大 于 利 。 

。 单元 测试 

。 集成 测试 

。 安全 测试 

当 更 新 用 于 处 理 紧急 情况 时 ， 这 三 个 级 别 的 测试 通常 可 以 防止 更 新 矣 大 于 利 。 但 是 ， 你 必 
须 尽快 执行 以 下 这 些 级 别 的 测试 。 

。 可 用 性 测试 

。 完整 性 测试 

。 访问 性 测试 

。 性 能 测试 

一 旦 事情 尘埃 落 定 且 你 有 足够 的 时 间 进行 测试 ， 就 需要 确保 这 次 更 新 是 完全 起 作用 的 。 确 
保 功 能 性 的 最 佳 方式 是 执行 以 下 这 些 级 别 的 测试 。 

。 回归 测试 

。 国际 化 和 本 地 化 测试 

。 一 致 性 测试 

你 可 以 进行 其 他 类 型 的 测试 ， 但 只 是 在 需要 的 时 候 。 例 如 ，Web 应 用 程序 
很 少 需要 安装 ， 所 以 在 大 部 分 情况 下 你 不 需要 进行 任何 类 型 的 安装 测试 。 例 
外 的 情况 是 Web 应 用 程序 要 求 安装 浏览 器 扩展 、 浏 览 器 插件 、 浏 览 器 服务 、 
系统 代理 或 其 他 必需 软件 时 。 
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第 15 章 


考虑 报告 的 需 





报告 有 助 于 记录 应 用 程序 的 状态 。 虽 然 似乎 代码 文件 里 的 注释 或 在 走廊 里 的 简单 讨论 就 足 
侨 , 但 一 个 接收 关于 应 用 程序 的 信息 的 正式 过 程 真 的 是 确保 每 个 人 都 能 理解 应 用 程序 状态 
的 唯一 方式 。 许 多 人 将 这 类 报告 与 bug 等 负面 问题 关联 起 来 。 但 是 你 可 以 为 各 种 需求 使 用 报 
告 。 例 如 ， 基 于 使 用 统计 信息 ， 一 个 正面 的 报告 可 能 会 表明 用 户 确 实 喜 欢 某 个 新 特性 。 类 似 
这 样 的 报告 会 给 每 个 人 以 鼓励 ， 而 不 用 担心 是 否 做 了 无 用 功 。 


你 通常 要 为 整个 应 用 程序 创建 内 部 报告 但 也 可 以 使 用 报告 来 跟踪 单独 的 应 用 特性 。 就 这 
一 点 来 说 ， 你 甚至 可 能 不 需要 直接 关注 应 用 程序 ， 而 是 关注 网 络 带 宽 的 使 用 或 数据 访问 需 
求 。 重 点 是 内 部 报告 通常 聚焦 于 你 的 代码 、 用 户 和 资源 。 

外 部 报告 来 自 第 三 方 。 例 如 ， 如 果 你 聘请 了 第 三 方 测试 商 〈 见 第 12 章 )， 那 么 在 测试 期 间 
会 希望 看 到 大 量 关 于 应 用 程序 状态 详情 的 报告 。 当 你 要 访问 库 、API 或 微服 务 时 ， 第 三 
报告 还 应 该 列 出 应 用 程序 真正 使 用 的 服务 。 通 过 跟 踊 这 些 服务 的 实际 使 用 情况 ， 你 或 许可 
以 优化 应 用 程序 或 通过 减少 这 些 服务 的 订购 来 降低 开支 。 


报告 的 一 个 重要 形式 是 积极 地 寻求 用 户 反 馈 (或 者 指定 具体 的 用 户 代 表 来 确保 每 类 用 户 都 
有 表达 自己 愿望 的 机 会 )。 你 永远 无 法 满足 应 用 程序 的 每 一 个 用 户 。 但 是 ， 你 可 以 合理 地 
寻求 满足 大 部 分 用 户 需 求 的 方法 。 关 键 是 要 确保 你 从 用 户 那 里 获得 的 报告 确实 能 够 代表 主 
要 的 观点 ， 而 不 是 少数 人 的 不 满 发 港 。 让 用 户 快 乐 、 高 效 以 及 受 控 通常 是 很 符合 应 用 程序 
开发 目标 的 。 



































报告 可 以 以 各 种 不 寻常 的 方式 给 你 的 应 用 程序 带 来 好 处 。 例 如 ， 你 可 以 通过 
分 析 报 告 来 找 出 不 寻常 的 使 用 或 访问 模式 。 不 寻常 的 模式 会 表明 黑客 的 活 
动 ， 但 也 会 表明 应 用 程序 升级 〈 见 第 13 章 ) 或 更 新 ( 见 第 14 章 ) 的 需求 。 
关键 是 要 保持 思想 开放 ， 当 机 会 出 现时 能 够 以 非 标准 的 方式 使 用 报告 。 
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15.1 使 用 报告 以 做 出 改变 


在 你 用 报告 做 任何 事 之 前 ,需要 有 一 份 报告 。 有 些 开 发 人 员 认 为 有 一 人 套 标 准 的 报告 能 满足 
每 个 公司 的 需求 。 遗 憾 的 是 ， 并 没有 。 报 告 会 因为 需求 的 变化 而 变化 。 你 需要 仔细 考虑 如 
何 创建 你 需要 的 那 种 报告 并 且 避 免 只 会 浪费 大 家 时 间 的 无 用 报告 。 有 时 候 你 需要 用 报告 来 
跟 进 一 次 升级 或 更 新 ， 以 确保 这 些 任 务 按 计划 进行 。 你 可 能 会 根据 易于 获取 的 数据 手动 创 
建 报告 ， 或 者 自动 生成 报告 。 自 动 生成 的 报告 可 以 来 自任 何 数据 产 ， 比 如 日 志文 件 。 重 要 
的 是 要 确保 这 些 报告 是 一 致 的 ， 这 样 阅读 它们 的 人 才 会 将 其 作为 一 致 的 信息 源 。 接 下 来 的 
几 小 市 摘 述 了 如 何 创建 对 公司 确实 有 用 的 报告 ， 以 方便 跟踪 流程 中 的 安全 等 问题 。 


15.1.1 避免 无 用 的 报告 

公司 ， 甚 至 是 个 人 ， 会 在 其 一 生 中 生成 大 量 的 报告 ， 而 其 中 只 有 一 小 部 分 是 确实 有 用 的 。 

报告 是 一 种 工具 ， 所 以 你 必须 有 用 它 来 执行 有 用 任务 的 需求 。 有 些 人 将 报告 视 为 提供 信 

息 的 资料 ， 但 事实 并 不 是 这 样 。 如 果 你 不 能 依据 报告 的 内 容 采 取 行 动 ， 那 么 这 个 信息 就 

是 无 用 的 ， 而 你 可 能 也 不 会 花 时 间 去 看 它 。 事 实 上， 无 用 的 信息 是 信息 泛滥 现象 的 一 个 

重要 因素 。 

包含 有 用 信息 的 报告 能 帮 你 执行 特定 的 任务 。 它 们 提供 了 行动 的 基础 。 为 此 ， 能 帮 你 增强 

应 用 程序 安全 性 的 报告 通常 包含 以 下 这 些 主题 。 

。 bug 

. 速度 

。 可 靠 性 

。 使 用 

。 数据 访问 

报告 的 类 型 决定 你 该 如 何 根 据 其 包含 的 信息 采取 行动 。 当 你 不 会 根据 一 份 报 告 采取 任何 行 

动 的 时 候 ， 这 个 报告 就 是 有 问题 的 ， 需 要 修改 ， 或 者 是 你 确实 不 需要 它 。 报 告 中 的 信息 通 

常会 因为 以 下 这 些 原 因 触 发 某 些 行为 。 

。 模式 的 改变 
数据 由 模式 组 成 。 你 可 以 看 到 数据 展示 方式 的 变化 。 事 实 上 ， 整 个 数学 分 支 都 在 致力 于 
研究 数据 模式 。 当 你 看 到 数据 模式 上 的 一 个 改变 ， 即 使 这 个 改变 没有 展现 问题 ， 你 也 需 
要 调查 它 的 源头 。 有 些 模式 代表 着 可 靠 性 问题 ， 而 其 他 一 些 代 表 着 安全 性 问题 。 当 然 ， 
模式 的 改变 可 能 只 是 源 于 用 法 的 改变 或 其 他 因素 ， 但 你 需要 知道 这 个 模式 为 什么 发 生 了 
改变 。 

。 状态 的 改变 
状态 的 改变 可 能 意味 着 许多 事情 。 但 是 ， 状 态 提 示 器 会 告诉 你 当前 的 信息 流 已 经 发 生 了 
改变 ， 这 意味 着 你 需要 去 检查 潜在 的 界面 、 可 靠 性 、 安 全 性 或 资源 问题 。 界 面 问题 可 以 
导致 安全 问题 ， 而 资源 问题 往往 会 导致 可 靠 性 问题 。 

































































































































































。 异常 事件 
大 自然 不 断 地 展现 出 提供 异常 事件 的 法力。 例如， 雷电 造成 的 故障 是 一 种 异常 信息 事 
件 。 但是， 黑客 试探 网 站 以 寻找 网 站 弱点 的 时 候 ， 也 会 发 生 异常 事件 。 有 些 黑 客 可 以 将 
异常 事件 控制 在 三 个 以 内 以 隐藏 他 们 自己 ， 所 以 跟踪 每 一 个 事件 的 源头 是 值得 的 。 


。 意料 之 外 的 值 
如 果 报 告 包 含 的 信息 超出 了 预想 的 范围 ， 你 需要 考虑 为 什么 应 用 程序 会 生成 这 些 信息 。 
意料 之 外 的 值 可 能 来 自 一 个 bug 或 者 是 黑客 刺探 的 结果 。 它 可 能 是 服务 器 上 的 资源 达到 
上 限 或 数据 库 中 的 坏 数据 导致 的 结果 。 事 实 上 ， 意 料 之 外 的 值 经 常 出 现 ， 而 人 们 只 是 忽 
上 略 它 们 而 不 是 采取 行动 。 当 可 能 的 时 候 ， 要 验证 意料 之 外 的 值 产 生 的 原因 。 


去 除 你 无 法 对 甚 采 取 行 动 的 信息 是 保持 安全 应 用 程序 的 重要 部 分 。 当 你 清楚 了 问题 之 后 ， 
就 可 以 开始 聚焦 你 真正 需要 的 用 于 定位 和 验证 组 织 安全 问题 的 信息 。 关 键 是 在 创建 新 的 报 
告 之 前 ， 想 一 想 你 计划 如 何 按照 报告 包含 的 信息 采取 行动 。 此 外 ， 抛 弃 不 再 有 用 的 旧 报 告 
对 于 任何 公司 最 终 控制 信息 流 都 是 很 重要 的 。 


15.1.2 ”安排 了 时间 为 升级 和 更 新 做 出 报告 


从 安全 和 可 靠 性 的 角度 来 说 ， 你 需要 良好 的 信息 来 针对 无 效 的 应 用 程序 变更 采取 行动 。 为 
了 获得 你 需要 的 信息 ， 要 将 报告 时 间 安 排 在 你 对 应 用 程序 进行 升级 和 更 新 的 时 候 。 制 定 报 
告 时 间 就 是 修改 系统 输出 报告 的 时 间或 修改 报告 频率 以 更 频繁 地 获得 信息 。 


信息 流 的 增加 应 该 与 你 所 做 的 变更 的 重要 程度 成 正比 。 然 而 ， 如 15.1.1 市 中 提 到 的 ， 你 
也 需要 避免 信息 过 载 。 当 超 负 蓓 时 ， 你 往往 会 错过 数据 展示 出 来 的 模式 及 关键 事件 。 平 
衡 你 真正 能 够 使 用 的 信息 和 你 真正 需要 的 信息 是 很 重要 的 。 如 果 你 开始 发 现 报告 出 来 了 
好 几 天 而 你 没有 采取 任何 行动 ， 就 说 明 你 正在 遭遇 信息 过 载 ， 并 且 需 要 以 某 种 方式 来 减 


少 信 息 流 。 































































































许多 公司 不 够 重视 过 滤 软 件 。 如 有 果 你 能 过 滤 个 人 收 到 的 信息 ， 使 其 更 有 和 针 
对 性 ， 就 可 以 降低 每 个 人 承受 的 负载 ， 同 时 也 更 可 能 以 更 快 的 速度 定位 
应 用 程序 升级 或 更 新 中 的 可 靠 性 及 安全 问题 。 这 里 的 问题 在 于 要 调试 过 
滤 软 件 使 其 确实 能 集中 注意 力 ， 而 不 会 丢失 关键 的 信息 。 为 了 调试 过 滤 
器 ， 要 有 人 去 比较 原始 数据 与 过 站 后 的 数据 以 确保 过 滤器 能 有 效 工 作 。 
一 旦 过 滤器 调试 完毕 ， 就 可 以 更 多 地 依靠 它 来 减少 个 人 的 工作 负担 ， 使 
他 们 更 加 高 效 。 























由 于 升级 和 更 新 导致 的 信息 流 增加 是 暂时 的 。 你 只 需要 在 合理 的 时 间 内 接收 额外 的 信息 。 
当然 ， 问 题 在 于 要 确定 何 时 减少 信息 流 。 通 常 ， 当 bug 及 怪异 事件 出 现 的 频率 降低 ， 且 应 
用 程序 的 使 用 模式 开始 回归 正常 时 ， 你 可 以 开始 减少 信息 流 。 采 用 这 个 方法 意味 着 你 可 以 
将 一 些 注意 力 放 到 其 他 的 事情 上 ， 比 如 计划 下 一 次 的 更 新 或 升级 。 
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15.1.3 ”使 用 自动 生成 的 报告 


监控 软件 和 其 他 支持 工具 通常 会 提供 一 些 报告 。 软 件 供应 商 通常 提供 这 些 报告 来 响应 用 户 
的 请 求 ， 所 以 这 些 报告 通常 能 精确 反映 你 需要 用 来 执行 普通 的 应 用 监控 的 数据 。 检 查 自 动 
生成 的 报告 清单 并 选择 满足 你 的 需求 的 报告 是 很 重要 的 。 选 择 所 有 的 报告 并 希望 能 找到 所 
需 的 信息 是 一 个 坏 主意 ， 因 为 这 会 导致 信息 过 载 并 错失 修正 应 用 程序 问题 的 机 会 。 


这 里 的 关键 是 自动 生成 的 报告 会 提供 一 般 性 的 信息 ， 即 供应 商 的 所 有 客户 都 
能 用 于 监控 应 用 程序 的 信息 。 供 应 商 无 法 知道 你 运行 的 是 什么 类 型 的 应 用 程 
序 、 用 户 会 在 何 时 与 它们 交互 、 用 户 依赖 什么 设备 或 者 任何 会 影响 应 用 程序 
执行 的 环境 因素 。 简 言 之 ， 自 动 生成 的 报告 可 以 作为 一 个 开端 和 催化 剂 ， 促 
使 你 对 为 保护 应 用 程序 及 它们 管理 的 数据 所 需 的 信息 形成 自己 的 想法 。 
























































生成 的 报告 会 提供 一 般 性 的 信息 ， 但 有 时候 通过 选择 报告 选项 (如 果 有 ) 可 使 其 更 加 切合 
你 的 需求 。 在 许多 情况 下 ， 供 应 商会 提供 定制 报告 的 方法 ， 这 样 它 就 能 提供 你 确实 需要 的 
信息 ， 而 不 是 大 量 你 不 需要 的 信息 。 重 要 的 是 要 用 所 有 就 绪 的 功能 运行 一 两 次 报告 ， 这 样 
你 才能 看 到 会 生成 哪些 报告 并 确定 你 要 如 何 使 用 它们 。 一 旦 你 知道 了 这 些 信息 ， 就 可 以 开 
始 定 制 报告 以 使 其 更 小 ， 用 起 来 更 高 效 。 


15.1.4 使 用 定制 的 报告 

供应 商 提供 的 关于 产品 的 一 般 性 报告 是 开始 监控 应 用 程序 有 无 问题 的 好 方式 ， 但 是 针对 你 
的 特定 需求 ， 它 们 通常 没有 提供 足够 的 信息 。 当 然 ， 供 应 商 对 你 的 特定 需求 一 无 所 知 。 要 
获取 与 应 用 程序 在 你 的 环境 中 以 及 在 用 户 使 用 中 如 何 工 作 直接 相关 的 信息 ， 唯 一 的 方式 就 
是 创建 定制 的 报告 。 当 你 使 用 的 监控 软件 没有 提供 你 所 需要 的 定制 报告 功能 时 ， 那 就 需要 
开发 一 款 能 够 获取 这 些 信息 且 能 以 某 种 有 效 方式 格式 化 它 的 软件 。 这 一 市 讨论 的 就 是 完 

手动 创建 的 报告 (参见 15.1.3 节 中 对 自 定义 报告 的 讨论 )。 

当然 ， 有 些 公司 疯狂 地 生成 报告 ， 有 许多 没有 人 真正 明白 其 用 途 的 报告 。 在 定制 报告 时 作 
出 限制 是 很 重要 的 。 否 则 ， 你 会 发 现 自己 会 被 埋 匡 在 你 不 想 要 、 不 需要 、 不 理解 的 信息 之 
中 ， 并 且 还 得 维护 报告 生成 软件 。 下 面 描述 了 一 些 方 法 ， 可 用 来 使 你 的 定制 化 报告 更 好 地 
反映 你 的 需求 ， 并 只 生成 保持 应 用 程序 安全 所 需 的 信息 。 

1. 手动 创建 报告 

在 某 些 情况 下 ， 你 要 手动 创建 报告 ， 从 应 用 程序 生成 的 日 志 中 以 及 你 拥有 的 任何 其 他 自 定 
义 数 据 源 中 提取 数据 。 数 据 源 的 差异 很 大 。 例 如 ， 你 可 能 需要 部 分 依靠 用 户 反 馈 表单 来 创 
建 所 需 的 报告 。 仔 细 规 划 报告 是 很 重要 的 ， 因 为 定制 化 的 报告 是 要 花 时 间 去 创建 且 要 花 很 
大 成 本 去 维护 的 。 当 报告 依赖 第 三 方 数 据 且 第 三 方 有 可 能 更 改 数据 (产品 的 一 部 分 ) 时 ， 
它们 也 可 能 是 很 脆弱 的 。 

获取 创建 报告 所 需 的 数据 有 一 些 严 重 的 缺点 ， 特 别 是 当 处 理应 用 程序 时 。 数 据 没 有 免费 获 
取 的 ， 你 总 得 付出 点 什么 。 以 下 是 从 任何 来 源 获取 定制 化 数据 时 都 应 该 芬 虑 的 问题 。 


。 输出 日 志 数 据 会 给 应 用 程序 或 产品 添加 代码 ， 这 意味 着 要 牺牲 速度 来 换取 信息 。 








































































































黑客 可 以 利用 日 志 数据 来 更 好 地 确定 你 的 应 用 程序 是 如 何 运行 的 ， 所 以 你 可 能 会 向 你 想 
要 阻止 的 人 提供 更 加 深入 地 入 侵 系统 的 钥匙 。 

创建 日 志 或 其 他 形式 的 应 用 程序 或 产品 信息 要 使 用 你 可 能 要 用 于 应 用 程序 的 资源 。 因 此 ， 
应 用 程序 可 能 会 遇 到 可 靠 性 问题 。 

创建 数据 的 代码 可 能 会 打开 原本 不 存在 的 安全 漏洞 ， 让 党 客 得 以 入 侵 你 的 系统 。 

比 起 准确 生成 你 所 需要 的 数据 ， 创 建 误导 性 或 不 正确 的 数据 会 容易 得 多 ， 所 以 你 需要 时 
间 来 测试 输出 的 数据 ， 检 查 其 准确 性 。 











定制 报告 要 服务 于 某 个 目标 。 但 是 ， 在 创建 它们 时 你 必须 要 小 心 谨慎 。 只 创建 你 需要 的 报 
告 ,使 其 只 输出 你 需要 用 于 采取 行动 的 数据 ， 并 且 只 有 在 绝对 必要 的 时 候 才 激活 报告 。 遵 
循 这 一 策略 有 助 于 保证 你 的 网 络 更 加 安全 并 减少 创建 定制 报告 的 坏处 。 


2. 从 现成 的 数据 源 中 生成 报告 

有 时 候 你 可 以 从 现成 的 数据 源 中 创建 定制 化 报告 。 有 些 监控 产品 提供 了 API， 让 你 访问 他 
们 创建 的 数据 。 如 果 不 管 你 用 不 用 ， 监 控 产 品 都 会 创建 数据 ， 那 使 用 监控 软件 (或 其 他 应 
用 程序 ) 的 数据 而 不 是 自己 创建 数据 是 值得 的 。 尽 管 如 此 ， 你 仍然 必须 开发 自 定义 代码 ， 
确保 其 以 你 想 要 的 方式 输出 所 需 的 数据 ， 然 后 要 在 后 续 维护 这 份 代 码 。 当 基于 第 三 方 提 供 
的 数据 来 创建 定制 化 报告 时 ， 还 有 其 他 一 些 问题 需要 考虑 ， 如 下 所 示 。 





















































第 三 方 可 能 会 更 改 输出 ， 所 以 你 的 报告 也 要 做 相应 的 更 改 。 

数据 可 能 会 变 得 不 可 用 。 

比较 难 验证 数据 是 否 准 确 ， 所 以 你 无 法 确定 报告 是 否 完 全 正确 一 一 实际 上 在 某 些 情况 下 
它 可 能 会 提供 不 恰当 的 数据 。 

为 了 通过 API 访问 数据 ， 你 可 能 必须 跳 过 许可 或 其 他 专利 数据 限制 。 

数据 可 能 不 是 你 想 要 的 格式 ， 所 以 在 你 使 用 之 前 ， 自 定义 代码 需要 执行 数据 操作 以 清理 
并 格式 化 数据 。 

第 三 方 管理 数据 的 方式 中 的 已 知 安全 问题 可 能 会 让 黑客 得 以 入 侵 你 的 系统 。 























15.1.5 ”创建 一 致 的 报告 
有 一 个 问题 很 难 解 决 ， 但 很 重要 ， 需 要 周密 演 虑 ， 那 就 是 一 致 性 问题 。 当 报告 以 不 同 的 方 











式 格式 化 数据 并 以 不 同 的 顺序 展示 时 ， 会 造成 混乱 。 任 何 使 用 这 个 报告 的 人 在 阅读 它 时 肯 
定 会 犯错 ， 并 且 可 能 会 错误 解读 数据 。 你 所 使 用 和 创建 的 报告 应 该 考虑 以 下 一 致 性 问题 。 


数据 以 相同 的 格式 出 现 。 

数据 的 排序 要 尽 可 能 保持 相同 。 

报告 不 要 使 用 多 个 冲突 的 方法 来 引用 数据 。 

王 何 数据 清理 及 过 滤 要 基于 一 致 的 方式 进行 ， 为 每 份 报告 生成 相同 的 数据 (基于 使 用 相 
同 的 算法 )。 

图 形 化 展示 的 数据 要 对 应 文本 数据 。 











当 你 更 新 报告 时 ， 请 确保 要 对 用 户 进行 一 致 性 问题 的 调查 。 依 靠 这 些 信息 来 执行 任务 的 人 


会 比 只 是 管理 、 维 护 或 输出 报告 的 人 更 快 察觉 到 差异 。 有 些 数据 可 能 有 很 细微 的 差别 ， 难 














以 在 外 观 和 布局 上 发 现 交 在 的 问题 。 
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15.1.6 ”使 用 报告 执行 特定 的 应 用 任务 


本 章 已 经 多 次 谈 到 ， 报 告 只 在 其 提供 可 操作 的 输出 时 才 是 有 用 的 。 但 是 ， 有 些 报告 可 能 不 
会 考虑 人 类 读者 。 创 建 增强 应 用 程序 自动 化 的 报告 是 有 可 能 的 。 监 控 及 管理 程序 可 以 读 取 
日 志文 件 ， 使 用 其 中 的 数据 来 确定 何 时 执行 应 用 程序 管理 任务 。 你 不 想 让 维护 行为 一 直 发 
生 或 在 特定 的 时 间 发 生 ， 更 重要 的 是 只 在 需要 时 进行 维护 ， 以 减少 资源 的 使 用 并 提升 应 用 
程序 的 可 用 性 。 因 为 其 他 软件 会 自动 读 取 报 告 里 的 信息 并 采取 行动 ， 所 以 你 需要 在 创建 报 
告 的 时 候 关 注 一 致 性 和 准确 性 。 应 用 程序 不 在 乎 报告 是 否 好 看 ， 它 在 意 的 是 报告 中 的 数据 
是 否 反 映 了 应 用 程序 的 真实 状态 。 


自动 化 是 现代 IT 中 相当 重要 的 一 部 分 ， 因 为 它 有 助 于 降低 成 本 并 确保 行动 
可 靠 地 发 生 。 但 是 ， 黑 客 也 很 喜欢 自动 化 ， 因 为 人 们 总 是 忘记 它 的 存在 ， 
而 黑客 常常 可 以 利用 其 作为 入侵 系统 的 一 种 手段 。 即 使 你 使 用 的 自动 化 是 
完全 准确 和 可 靠 的 ， 你 仍然 需要 监控 它 来 确保 其 能 保持 安全 并 继续 按 预期 
正常 工作 。 





































































































15.2 创建 内 部 报告 


内 部 报告 是 你 在 自己 的 组 织 内 创建 和 使 用 的 报告 。 尽 管 它们 倾向 于 关注 应 用 程序 整体 ， 但 
也 可 以 让 它们 聚焦 于 你 需要 跟踪 的 任何 数据 源 。 内 部 报告 其 至 可 以 关注 你 对 第 三 方 库 、 
API 和 微服 务 的 使 用 。 这 些 报告 应 该 能 帮 你 执行 某 些 有 用 的 任务 ， 比 如 跟踪 潜在 的 安全 漏 
洞 。 所 有 内 部 报告 的 关键 是 要 提供 应 用 程序 变更 的 数据 或 确定 应 用 程序 是 否 不 需要 任何 变 
更 。 接 下 来 的 内 容 会 帮 你 更 好 地 理解 和 使 用 内 部 报告 。 


15.2.1 确定 使 用 哪些 数据 源 


内 部 报告 倾向 于 处 理 与 公司 相关 的 数据 。 这 些 报告 反映 了 在 你 的 系统 和 你 提供 的 环境 中 运 
行 的 应 用 程序 的 具体 特性 。 你 可 以 看 到 用 户 的 使 用 模式 以 及 与 你 的 系统 相关 的 异常 事件 。 
换言之 ， 内 部 报告 倾向 于 聚焦 供应 商 的 一 般 性 报告 里 无 法 提供 的 数据 。 


内 部 报告 的 问题 在 于 每 个 人 都 认为 其 他 人 是 值得 信赖 的 ， 并 且 报 告 中 的 数据 不 会 被 公司 以 
外 的 人 知道 。 要 认识 到 ， 如 今 许多 数据 泄露 都 是 因为 受信 任 的 职员 将 便携 电脑 遗忘 在 了 飞 
机 场 ， 或 者 是 某 些 没有 道德 良知 的 人 将 其 卖 给 了 出 高 价 的 人 。 为 此 ， 你 需要 考虑 到 你 在 报 
告 里 提供 的 数据 最 终 会 暴露 给 外 界 ， 无 论 你 是 否 希望 如 此 。 以 下 列 出 了 一 些 在 用 内 部 数据 
源 生 成 报告 时 需要 考虑 的 问题 。 


。 确保 使 用 报告 的 人 确实 需要 你 所 包含 的 数据 。 

。 为 使 用 敏感 数据 定义 带 处 罚 规定 的 协议 。 

。 针对 涉及 敏感 数据 的 数据 泄露 制订 处 理 计 划 (在 一 般 的 数据 泄露 协议 之 外 打算 执行 的 程 
序 )。 

。 跟踪 敏感 数据 的 使 用 ， 以 便 更 容易 确定 数据 泄露 发 生 的 源头 。 

。 保证 敏感 数据 的 安全 ， 使 其 与 不 敏感 的 数据 相互 隔离 。 





















































敏感 数据 有 时 候 会 因为 一 系列 相关 联 的 错误 而 最 终 公 开 。 保 持 敏感 数据 分 离 
的 原因 就 是 使 得 它 更 不 容易 公开 ， 比 如 出 现在 季度 报告 或 公开 演讲 中 。 意 外 
公开 敏感 数据 不 仅 令 人 尴 众 ， 还 会 导致 各 种 公众 问题 ， 更 不 要 说 会 给 黑客 人 
侵 系 统 的 机 会 。 











保护 数据 在 如 今 是 相当 重要 的 。 有 太 多 的 公司 因为 犯 了 一 个 看 似 很 小 的 错误 最 终 让 黑客 窃 
取 了 敏感 信息 ， 结 果 上 了 行业 杂志 的 头 版 或 主流 新 闻 媒 体 的 头条 。 在 许多 情况 下 ， 错 误 就 
在 于 不 正确 地 使 用 了 内 部 数据 源 ， 公 司 本 应 该 小 心 翼 经 地 将 它 保 护 起 来 ， 仅 供 不 需 要 的 人 
使 用 。 在 创建 新 的 报告 时 你 能 问 自己 的 最 好 问题 是 ， 能 看 到 这 份 报告 的 人 是 否 确实 需要 看 
到 你 提供 的 数据 。 


15.2.2 ”指定 报告 的 使 用 


内 部 报告 可 以 并 且 确 实 会 使 用 敏感 数据 。 如 果 你 锁定 每 个 可 能 敏感 的 信息 ， 那 么 公司 可 能 
永远 无 法 正常 运转 。 公 司 的 敏感 信息 应 该 在 某 个 时 间 和 地 点 公开 。 但 是 ， 你 仍然 要 明确 定 
义 报 告 的 使 用 方式 并 阐明 用 户 应 如 何 与 其 交互 ， 以 减少 与 敏感 数据 相关 联 的 安全 风险 。 对 
于 处 理 报告 中 的 敏感 数据 ， 公 司 需要 有 一 套 可 强制 执行 的 规则 。 


精细 地 考虑 报告 要 如 何 使 用 数据 是 很 重要 的 。 当 敏感 数据 在 错误 的 场合 被 公开 时 ， 外 推 方 
法 和 数据 科学 方法 可 以 让 它们 更 加 有 破坏 性 。 你 同样 可 以 使 用 数据 清理 和 过 滤 技 术 来 让 数 
据 变 得 不 敏感 ， 可 以 在 针对 整个 公司 的 展示 中 使 用 。 例 如 ， 与 个 人 相关 的 数据 比 不 相关 的 
数据 更 敏感 。 利 用 清理 技术 可 以 保留 数据 的 统计 值 而 不 会 与 特定 的 个 人 相关 联 。 


报告 还 应 该 有 相关 的 文档 。 你 需要 知道 谁 创建 了 报告 以 及 创建 原因 。 报 告 应 该 有 一 个 检查 

日 期 以 确保 它 在 公司 内 依然 有 用 。 作 为 文档 的 一 部 分 ， 你 需要 定义 以 下 报告 安全 性 元 素 。 

。 详 述 谁 能 访问 和 陪读 报告 。 

。 指定 谁 能 生成 报告 。 

。 定义 用 户 要 如 何以 及 在 什么 地 方 〈 例 如 ， 有 些 报告 可 能 不 适合 下 载 到 移动 设备 上 ) 阅读 
报告 。 

。 制定 一 个 流程 ， 确 保 报告 的 所 有 副本 在 某 个 时 间 点 都 被 销毁 〈 除 了 在 安全 位 置 保存 的 归 

档 副 本 ) 。 

。 提供 联系 信息 ， 这 样 任何 有 疑问 的 人 都 知道 要 问 谁 关于 报告 及 其 内 容 的 问题 。 


谈 到 报告 包含 敏感 数据 ，BYOD ( 自 带 设备 ) 现象 给 许多 公司 带 来 了 安全 问 
题 。 你 很 难 阻止 用 户 在 没有 重要 安全 措施 的 移动 设备 上 查看 敏感 信息 。 你 需 
要 假设 有 些 用 户 会 将 报告 带 出 办 公 楼 ， 无 论 有 没有 你 的 允许 。 因 此 ， 你 需要 
准备 好 应 对 当 用 户 丢失 手机 或 其 他 包含 了 敏感 数据 的 个 人 设备 时 可 能 会 发 生 
的 泄露 。 给 不 愿 遵守 规则 的 用 户 设 置 障碍 会 保证 部 分 用 户 诚实 ， 但 不 是 所 有 
用 户 。 
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15.3 依靠 外 部 生成 的 报告 


跟 你 打交道 的 第 三 方 可 能 需要 向 你 提供 一 些 报 告 ， 然 后 你 才能 确定 你 们 之 间 的 关系 对 你 的 
公司 、 用 户 、 数 据 和 应 用 程序 有 何 益 处 。 没 有 这 些 报告 ， 你 只 能 猜测 第 三 方 如 何 看 待 你 的 
组 织 以 及 你 的 组 织 如 何 使 用 第 三 方 提 供 的 服务 。 外 部 生成 的 报告 的 意义 在 于 确保 你 明白 你 
获得 的 投资 回报 以 及 第 三 方 是 否 按 预 期 执行 任务 。 


15.3.1 从 第 三 方 获取 完整 的 报告 

你 获得 的 任何 第 三 方 支持 产品 ， 比 如 应 用 程序 或 安全 性 测试 ， 都 需要 相关 的 报告 。 报 告 必 
须 详 述 提供 的 服务 以 及 时 间 。 它 应 该 告诉 查看 报告 的 人 为 什么 第 三 方 要 执行 这 个 服务 以 及 
执行 该 服务 的 结果 (例如 ， 测 试 应 该 详 述 测试 何 时 成 功 或 失败 并 提供 查看 每 种 结果 的 方 
法 )。 你 需要 的 任何 报告 都 需要 出 现在 交付 清单 中 ， 第 三 方 必 须 在 收取 报酬 之 前 完成 它们 ， 
否则 你 很 可 能 不 会 收 到 你 需要 的 所 有 报告 。 

与 内 部 创建 的 报告 一 样 ， 你 从 第 三 方 获 得 的 任何 报告 都 应 该 促进 一 些 行动 的 发 生 。 第 三 
机 构 倾 向 于 生成 令 人 印象 深刻 的 报告 ， 而 不 是 提供 信息 的 报告 。 在 处 理 可 能 由 于 第 三 方 的 
错误 或 不 关注 细节 而 引起 的 安全 漏洞 时 ， 炫 目的 纸张 和 动人 的 词语 并 不 会 有 太 大 帮助 。 简 
言 之 ， 你 需要 像 查 看 内 部 报告 那样 查看 外 部 报告 总 是 要 质疑 这 些 报 告 为 你 和 你 的 公司 
提供 的 价值 。 

可 能 的 情况 下 ， 与 第 三 方 一 起 生成 专门 解决 你 的 公司 需求 的 报告 ， 而 不 是 接受 他 们 为 所 有 
人 创建 的 一 般 性 报告 。 报 告 应 该 反映 你 的 应 用 环境 、 资 源 的 使 用 、 人 员 和 其 他 令 你 的 公司 
独一无二 的 因素 。 定 制 化 的 报告 可 能 会 花费 更 多 成 本 ， 但 你 能 获取 更 多 信息 ， 而 且 节 省 的 
员工 时 间 通 常会 带 来 超过 额外 支出 的 回报 。 


要 尽 可 能 多 地 对 报告 的 数据 进行 验证 测试 。 在 许多 情况 下 ， 你 没有 资源 去 检查 
报告 里 包含 的 每 一 个 事实 ， 但 你 通常 可 以 进行 抽查 以 确保 第 三 方 没有 生成 一 份 
包含 着 他 们 认为 你 想 听 到 的 信息 的 报告 。 为 了 创建 一 个 真正 安全 的 环境 ， 你 需 
要 可 验证 的 事实 来 帮 你 更 好 地 理解 应 用 程序 的 动态 并 发 现 牵制 墨客 的 方法 。 





































































































15.3.2 ”从 原始 数据 创建 报告 


有 些 第 三 方 会 提供 API， 你 可 以 用 来 访问 与 你 的 应 用 程序 相关 的 原始 数据 。 你 可 以 使 用 原 
始 数据 来 生成 你 自己 的 报告 ， 而 不 是 完全 相信 第 三 方 的 报告 。 这 种 服务 通常 会 花费 更 多 ， 
并 且 不 是 所 有 的 第 三 方 都 会 提供 这 种 服务 ， 但 找 出 这 种 服务 是 值得 的 。 当 你 创建 定制 化 的 
报告 时 ， 请 使 用 15.1.4 节 中 的 指导 原则 。 为 了 执行 必需 的 任务 ， 重 要 的 是 要 确保 你 能 够 以 
你 需要 的 形式 得 到 所 需 信 息 。 


15.3.3 保持 内 部 数据 安全 
第 三 方 可 能 能 够 访问 你 公司 的 革 些 内 部 数据 。 这 些 可 能 不 是 敏感 数据 ， 但 你 仍然 要 保护 ， 
因为 你 知道 第 三 方 可 以 访问 它 。 当 与 第 三 方 打 交道 时 ， 你 要 将 他 们 能 访问 的 所 有 数据 看 作 
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敏感 数据 ， 遵 循 15.2 节 中 提 到 的 规则 。 除 了 遵循 这 些 规 则 ， 你 还 要 尽 可 能 多 地 了 解 第 三 
方 。 只 有 在 执行 了 一 些 步骤 ， 证 实 你 确实 可 以 信任 第 三 方 之 后 ， 你 才能 信任 他 们 。 以 下 是 
一 些 建议 ， 用 于 在 与 第 三 方 打交道 时 确保 你 的 应 用 程序 、 应 用 程序 数据 以 及 公司 数据 保持 
安全 。 

。 验证 会 使 用 数据 的 所 有 第 三 方 的 身份 。 

。 进行 背景 调查 以 确保 第 三 方 是 值得 信赖 的 。 

。 跟踪 第 三 方 对 共享 数据 的 访问 并 确保 在 出 现 异常 情况 时 立刻 跟 进 。 

。 确保 第 三 方 签订 了 保密 协议 。 
。 监控 第 三 方 以 确保 不 会 有 任何 试图 访问 敏感 数据 的 情况 。 

。 制定 一 个 处 理 第 三 方 数据 泄露 或 管理 与 安全 协议 有 关 问 题 的 流程 。 


15.4 ”提供 用 户 反 馈 


用 户 反馈 在 任何 报告 场景 中 都 是 重要 的 元 素 ， 因 为 如 果 没 有 用 户 ， 应 用 程序 就 没有 用 。 如 
果 你 无 法 保证 用 户 会 对 应 用 程序 满意 ， 那 就 无 法 保证 应 用 程序 本 身 是 有 用 的 。 遗 憾 的 是 ， 
少 部 分 隆 噪 的 用 户 通常 会 提供 用 户 反馈 ， 而 大 多 数 用 户 则 沉默 不 语 。 为 此 ， 你 必须 使 用 不 
同 的 技术 来 收集 用 户 反 馈 并 确保 其 真正 有 用 。 一 旦 你 做 了 这 个 决定 ， 就 可 以 开始 使 用 反馈 
来 对 应 用 程序 作出 变更 ， 从 各 个 方面 提升 安全 性 。 例 如 ， 改 变 UI 来 让 应 用 程序 更 易于 使 
用 和 理解 ， 从 而 减少 潜在 的 由 于 用 户 错误 而 导致 的 安全 问题 。 


15.4.1 获取 用 户 反 馈 

用 户 反 馈 是 一 种 报告 ， 并 且 是 为 应 用 程序 维持 一 个 安全 环境 的 关键 部 分 。 一 方面 ， 对 应 用 
程序 不 满意 并 认为 请 求 得 不 到 响应 的 用 户 会 自己 寻找 解决 方案 ， 而 这 些 解决 方案 通常 会 

致 安全 漏洞 和 可 靠 性 问题 。 另 一 方面 ， 用 户 反 馈 会 告诉 你 应 用 程序 实际 上 是 如 何 服务 用 户 
需求 的 。 在 许多 情况 下 ， 用 户 会 需要 他 们 无 法 用 言语 表达 的 帮助 和 服务 ， 部 分 原因 是 他 们 
不 知道 应 用 程序 没有 按 你 原来 设计 的 方式 工作 。 

你 可 以 用 各 种 方式 来 获取 用 户 反馈 。 在 获取 特定 类 型 的 反馈 时 ， 某 些 方法 会 比 其 他 方法 更 
好 。 例 如 ， 评 价 表单 会 告诉 你 用 户 对 应 用 程序 的 感受 ， 但 它 不 会 告诉 你 用 户 实际 上 是 如 何 
与 应 用 程序 交互 的 ， 因 为 用 户 的 反馈 是 带 有 偏见 的 (有关 这 个 问题 的 更 多 细节 ， 请 参阅 
15.4.2 节 )。 当 面 对 一 组 用 户 时 ， 你 通常 必须 基于 收 到 的 各 种 反馈 进行 折 中 。 每 个 用 户 可 能 
都 感觉 自己 的 反馈 是 不 带 偏见 的 ， 但 每 个 人 在 表达 观点 时 都 会 表现 出 偏见 。 这 种 偏见 会 影 
响 你 收 到 的 反馈 ， 进 而 影响 其 可 用 性 。 以 下 列 出 了 一 些 获取 用 户 反 馈 的 方法 ， 但 重要 的 是 
要 记 住 其 中 一 些 是 具有 攻击 性 的 ， 而 另 一 些 可 能 会 产生 带 偏见 的 结果 。 

。 创建 反馈 表单 ， 让 用 户 可 以 向 你 请 求 新 特性 或 只 是 评论 现 有 特性 。 

。 发 起 集体 讨论 ， 让 大 量 用 户 可 以 谈论 应 用 程序 的 优 缺 点 并 定义 他 们 希望 看 到 的 改变 。 

。 给 软件 添加 检查 ， 记 录用 户 与 应 用 程序 的 交互 行为 。 

。 监控 用 户 与 应 用 平台 的 交互 ， 这 样 你 就 能 更 好 地 理解 用 户 在 应 用 环境 中 的 情况 。 

。 跟踪 用 户 在 应 用 环境 外 部 的 访问 ， 比 如 访问 数据 库 、API 或 微服 务 。 

。 每 当 有 特殊 事件 (比如 由 bug 导致 的 崩溃 ) 发 生 时 ， 请 求 用 户 提供 反馈 。 
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大 部 分 用 户 会 对 键盘 记录 等 监控 技术 比较 反感 ， 因 为 这 种 感觉 就 像 是 被 人 监 
视 。 当 使 用 秘密 的 方法 来 获取 用 户 数据 时 ， 你 必须 考虑 如 何 权衡 给 用 户 带 来 
的 负面 感受 与 获取 数据 的 好 处 。 重 要 的 是 不 仅 要 考虑 当前 应 用 程序 ， 还 要 考 
虑 公司 的 所 有 应 用 程序 ， 因 为 用 户 会 认为 你 一 直 在 监控 他 们 (即使 你 没有 )。 
使 用 键盘 记录 器 等 产品 而 导致 的 隐私 及 信任 丢失 是 你 在 使 用 这 种 产品 之 前 需 
要 仔细 考虑 的 问题 之 一 。 也 要 考虑 到 黑客 通常 会 利用 你 使 用 的 监控 系统 来 入 
侵 网 络 。 



































15.4.2 ”确定 用 户 反 馈 的 可 用 性 

获取 用 户 反 馈 是 有 帮助 的 ， 但 只 有 当 你 考虑 获取 数据 的 情形 时 才 会 有 用 。 直 接 与 用 户 交 谈 
通常 会 产生 带 偏见 的 结果 。 监 控 用 户 会 产生 不 带 偏 见 的 结果 ， 但 如 果 用 户 知 道 有 监控 ， 他 
的 行为 就 不 能 反映 真实 的 使 用 情况 ， 你 接收 到 的 数据 也 将 是 不 可 信 的 。 通 过 软件 检查 来 记 
录用 户 的 交互 不 能 提供 监控 所 能 提供 的 信息 深度 。 关 键 是 你 必须 劳 虑 接收 信息 的 方式 ， 然 
后 再 判断 它 是 否 有 助 于 完成 某 个 任务 。 

想象 一 下 ， 一 名 用 户 可 能 会 要 求 添加 某 个 功能 ， 因 为 它 看 起 来 很 有 趣 。 但 是 ， 测 试 显 示 
这 个 功能 可 能 会 由 于 其 访问 数据 的 方式 而 增加 数据 泄露 的 风险 。 此 外 ， 监 控 显 示 用 户 没 
有 因为 该 功能 而 得 到 多 少 好 处 一 一 在 现实 世界 中 很 少 用 到 它 。 因 此 ， 你 需要 将 三 个 信息 
关联 起 来 以 确定 是 否 要 保留 该 项 功能 。 移 除 该 功能 几乎 肯定 会 引 来 用 户 的 评论 ， 所 以 你 
需要 有 很 好 的 理由 移 除 它 。 在 这 种 情况 下 ， 你 需要 考虑 其 他 有 用 的 用 户 反馈 是 否 会 有 帮 
助 。 例 如 ， 你 可 能 会 在 某 个 小 组 会 议 中 抛 出 该 功能 的 问题 ， 然 后 依靠 这 个 小 组 的 反馈 来 
帮 你 理解 对 这 个 功能 的 需求 。 

应 用 程序 的 安全 性 往往 取决 于 用 户 的 参与 。 社 会 工程 学 攻击 是 灾难 性 的 ， 但 试图 阻止 一 个 
心怀 不 满 的 员工 的 破坏 行为 会 更 加 困难 。 用 户 反 馈 的 一 个 目标 就 是 要 确保 用 户 对 公司 保持 
忠诚 ， 以 保证 应 用 程序 及 其 数据 的 安全 。 在 某 些 情况 下 ， 为 了 保持 用 户 对 应 用 程序 的 好 
感 ， 你 需要 从 一 开始 就 衡量 接收 可 能 不 会 有 太 大 帮助 的 用 户 反 馈 的 效果 。 


有 些 开 发 人 员 将 小 组 会 议 视 为 最 好 能 避免 的 一 个 痛苦 的 过 程 。 但 是 ， 小 组 会 议 
及 其 结论 有 助 于 带 来 承担 安全 问题 的 社会 压力 。 在 某 些 情况 下 ， 社 会 压力 足以 
防止 用 户 犯 一 些 在 没有 压力 时 会 犯 的 错误 。 当 要 通过 某 个 艰难 的 决定 的 时 候 ， 
小 组 会 议 还 能 防止 你 看 起 来 像 个 坏人 ， 比 如 当 要 砍 掉 某 个 可 能 会 带 来 安全 风险 
又 不 会 给 用 户 带 来 价值 的 特性 的 时 候 。 如 果 使 用 正确 ， 小 组 会 议 可 以 提供 非常 
宝贵 的 用 户 反 馈 ， 这 也 会 有 助 于 建立 更 加 安全 的 应 用 环境 。 

















































































































在 评估 用 户 反 馈 的 过 程 中 ， 你 还 必须 考虑 公司 的 政策 。 用 户 反馈 通常 是 有 偏见 的 ， 但 偏见 
有 多 大 通常 取决 于 用 户 对 应 用 程序 的 感知 价值 以 及 决策 过 程 背 后 的 政策 。 某 些 情况 下 ， 你 
需要 在 一 定 程度 上 忽视 直接 的 用 户 反馈 并 尝试 通过 间接 的 方法 〈 比 如 监控 ) 获得 反馈 ， 以 
确定 何 时 政策 不 再 发 挥 作用 ， 只 有 偏见 存在 。 

请 确保 与 开发 团队 一 起 考虑 所 有 的 用 户 反 馈 并 让 管理 层 知道 你 的 处 理 过 程 。 但 是 ， 重 要 的 









































是 要 记 住 你 的 开发 团队 和 管理 层 都 是 由 有 自己 的 偏好 和 政策 导向 的 人 组 成 的 。 名 视 不 想 听 
到 的 用 户 反 馈 ， 支 持 与 自己 一 致 的 开发 团队 的 意见 是 人 的 天 性 。 然 而 ， 有 时 候 用 户 确实 是 
正确 的 ， 而 你 需要 在 做 出 决定 之 前 考虑 这 一 点 。 


在 决策 过 程 中 ， 还 需要 考虑 可 以 利用 的 其 他 信息 源 。 你 生成 的 报告 不 仅 会 告诉 你 关于 应 用 
程序 、 平 台 、 第 三 方 服务 等 方面 的 信息 ， 还 会 告诉 你 关于 公司 状态 的 信息 ， 并 帮 你 更 好 地 
对 收 到 的 用 户 反 馈 作出 决策 。 不 要 忘记 考虑 来 自 外 部 源 的 反馈 ， 比 如 专业 杂志 的 文章 。 关 
于 某 种 类 型 的 攻击 正在 发 生 的 报告 可 能 会 对 包含 特定 应 用 特性 的 做 法 产生 较 大 影响 ， 这 种 
特性 会 使 黑客 更 容易 入 侵 系 统 。 总 之 ， 要 使 用 你 的 所 有 资源 来 获得 全 面 的 反馈 ， 而 不 是 目 
光 短 浅 地 只 考虑 你 收 到 的 用 户 反 馈 。 
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第 五 部 分 


查找 安全 资源 





本 书 提 供 了 大 量 关 于 安全 威胁 、 来 源 、 修 复 和 监控 技术 的 信息 。 你 已 经 知道 了 黑客 常用 的 
各 种 方法 ， 他 们 会 入 侵 公 司 系统 ， 给 所 有 人 造成 麻烦 。 黑 客 造成 的 数据 泄露 形式 多 样 ， 并 
且 产 生 的 影响 也 各 不 相同 。 但 是 ， 你 确实 需要 了 解 关 于 这 些 问题 的 更 多 信息 ， 而 这 正 是 本 
部 分 所 要 讲述 的 内 容 。 

第 16 章 将 讨论 可 用 于 跟踪 安全 威胁 的 方法 。 这 些 威 胁 在 不 断 变化 ， 而 你 需要 随时 跟 进 。 
但 是 ， 你 不 想 陷 入 信息 泥潭 ， 所 以 尽 可 能 快 地 获取 正确 的 信息 很 关键 。 这 一 章 会 帮 你 以 省 
时 省 力 的 方式 找到 所 需 信息 。 

第 17 革 将 讨论 培训 的 相关 话题 。 每 个 人 都 需要 培训 。 事 实 上 ， 如 果 你 研究 大 量 关 于 安全 
漏洞 的 详细 报告 ， 很 快 会 发 现 这 些 漏 洞 本 可 以 在 一 开始 通过 更 多 的 培训 避免 。 当 然 ， 你 需 
要 知道 安全 培训 的 内 容 和 对 象 。 这 一 章 会 告诉 你 所 有 这 些 细 市 。 



































第 16 章 


跟踪 当前 的 安全 威胁 





知识 运用 得 当 ， 将 成 为 相当 强大 的 工具 。 为 了 跟 进 可 能 影响 应 用 程序 的 安全 问题 ， 需 要 跟 
踪 当 前 的 安全 威胁 。 但 是 ， 如 有 果 你 关注 过 新 闻 媒体 ， 会 知道 尝试 跟踪 所 有 冲 在 的 安全 威胁 
很 耗 人 精力 。 如 果 你 还 考虑 行业 杂志 里 的 报道 ， 那 么 真 的 需要 全 职 来 做 安全 工作 了 ， 并 且 
可 能 需要 一 个 团队 来 专门 管理 相关 信息 流 。 很 明显 ， 应 该 找到 识别 哪些 威胁 确实 需要 关注 
的 方法 ， 否 则 会 在 跟踪 信息 上 耗费 过 多 时 间 ， 从 而 无 法 真正 避免 这 些 威胁 。 


一 旦 确定 某 种 安全 威胁 确实 存在 ， 你 就 需要 决定 该 采取 什么 行动 。 第 15 章 曾 提 到 ， 你 唯 
一 真正 需要 的 报告 是 能 让 你 采取 某 种 行动 的 报告 。 这 同样 适用 于 安全 威胁 报告 。 需 要 你 采 
取 某 种 行动 的 安全 威胁 才 是 你 真正 需要 进行 彻底 调查 的 。 甚 他 的 一 切 都 是 浪费 时 间 的 多 余 
信息 。 当 然 ， 在 必要 的 时 候 对 应 用 程序 你 得 选择 是 更 新 还 是 升级 。 重 点 是 要 苍 虑 如 何 应 对 
安全 威胁 并 在 必要 的 时 候 采 取 行 动 (或 只 是 将 报告 扔 进 废 纸 繁 里 )。 
本 章 不 是 只 研究 安全 威胁 ， 而 是 探讨 如 何 根据 安全 威胁 信息 采取 行动 。 为 了 保证 应 用 程序 
及 其 相关 数据 的 安全 ， 首 先 需要 知道 安全 威胁 ， 然 后 根据 你 接收 到 的 信息 采取 行动 。 最 粳 
糕 的 情况 是 在 毫 无 准备 、 没 有 计划 、 缺 乏 处 理 威 胁 的 相关 信息 的 情况 下 遇 到 危机 。 


















































As 


























避免 炒作 、 史 斯 底 里 和 无 助 


安全 行业 存在 一 个 问题 。 事 实 上 ， 存 在 许多 问题 。 所 有 问题 都 归 因 为 : 炒作 、 欢 斯 底 
里 和 无 助 。 安 全 行业 因 这 三 个 词 而 莲 描 发 展 ， 许 多 安全 专家 也 承认 这 一 点 。 媒 体 也 起 
到 了 推波助澜 的 作用 ， 因 为 囊 动 的 标题 更 吸引 人 。 但 是 那些 人 本 应 让 你 平静 、 冷 静 、 
镇 静 地 处 理事 情 。 在 安全 行业 很 容易 变 得 失望 无 助 ， 每 个 人 都 会 让 你 一 直 偏 执 地 怀疑 
所 有 事情 。 
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炒作 会 持续 不 减 ， 因 为 有 了 炒作 才能 销售 虚假 承诺 ， 这 些 承诺 有 些 是 与 产品 相关 的 ， 
而 有 些 不 是 。 例 如 ， 你 可 能 无 数 次 听 到 过 某 种 病毒 或 攻击 会 终结 互联 网 时 代 的 消息 ， 
但 互联 网 仍然 存在 。 事 实 是 某 种 安全 漏洞 会 造成 破坏 并 拱 毁 你 的 生活 (甚至 是 你 的 事 
业 ) ， 但 是 那 种 惊天 动 地 的 预言 很 少 会 成 真 。 当 你 听 到 某 种 似乎 荒 课 的 说 法 时 ， 那 它 可 
能 就 是 荒 裹 的 。 

即使 某 个 说 法 是 真 的 ， 那 些 在 安全 领域 处 于 领导 地 位 的 人 常常 会 提出 歇斯底里 的 观点 。 
你 看 到 的 束 动 性 标题 可 能 会 使 你 产生 阅读 内 容 的 欲望 ， 但 它 并 没有 真正 满足 你 的 需求 。 
歌 斯 底 里 从 来 没有 赢 过 一 场 战争 ， 在 安全 行业 也 不 会 大 有效。 你 真正 需要 做 的 是 考虑 
某 个 威胁 会 对 你 的 公司 产生 什么 影响 ， 可 以 采取 什么 措施 消除 影响 ， 然 后 监控 系统 以 
确定 何 时 (或 是 否 ) 有 人 试图 入 侵 。 头 脑 冷 静 才 会 无 往 不 胜 。 

这 一 切 都 会 归结 于 一 个 问题 ， 就 是 你 会 感到 无 助 。 毕 竟 ， 除 非 你 真 的 感到 无 助 ， 否 则 
各 种 安全 供应 商 不 会 承担 起 援救 你 的 责任 。 如 果 本 书 什么 也 没 教会 你 ， 那 你 起 码 应 该 
知道 知识 才 可 以 让 你 用 各 种 方式 掌控 安全 ， 而 工具 虽然 有 用 ， 也 只 是 众多 解决 方案 中 
的 一 小 部 分 。 实 际 上 你 并 不 会 无 助 ， 因 为 你 有 各 种 可 以 自由 支配 的 资源 。 











16.1 发 现 安 全 威胁 信息 的 来 源 


因为 可 用 的 安全 信息 太 多 ， 所 以 你 需要 从 中 挑选 出 能 够 以 合适 的 形式 提供 材料 、 足 够 简洁 
并 且 不 需要 浪费 太 多 时 间 的 。 安 全 专家 的 建议 可 以 听 ， 因 为 专家 有 充分 的 时 间 和 资源 去 搜 
索 这 些 信息 。 但 是 ， 这 些 信息 需要 来 自 跟 你 有 类 似 观 点 的 专家 所 管理 的 信息 源 ， 并 且 这 些 
信息 源 不 属于 炒作 、 歇 斯 底 里 和 没有 帮助 的 类 别 。 接 下 来 会 回顾 最 常 使 用 的 安全 威胁 信息 
源 ， 并 帮 你 理解 每 个 信息 源 在 帮助 你 完善 安全 方面 扮演 的 角色 。 


16.1.1 阅读 与 安全 相关 的 专业 文章 

你 没有 足够 的 时 间 去 搜索 所 有 潜在 的 安全 威胁 来 源 。 当 然 ， 你 可 以 让 自己 的 团队 来 帮忙 ， 
另外 那些 在 专业 杂志 上 写 文章 的 安全 专家 也 可 求助 。 这 些 专家 花 大 量 时 间 研 究 安 全 问题 ， 
他 们 知道 各 种 各 样 的 安全 威胁 。 例 如 ，Jeremy Kirk 最 近 写 了 一 篇 文章 “Even encrypted 


medical record databases leak information” (http:Wwww.computerworld.comyarticle/2980593/ 

































































data-privacy/even-encrypted-medical-record-databases-leak-information.html)。 这 类 文章 需要 
关注 ， 因 为 大 部 分 的 业务 都 会 依赖 数据 库 来 存储 信息 ， 而 存储 敏感 信息 的 数据 库 通常 会 依 
靠 某 种 加 密 技术 。 我 们 要 去 查找 的 文章 类 型 通常 具有 以 下 这 些 特征 。 
。 没有 煽动 性 文字 的 简洁 标题 ( 尽 可 能 做 到 )。 

。 一 段 关 于 问题 的 简单 概述 ， 这 样 你 就 能 确定 该 威胁 是 否 需要 进一步 研究 。 
。 对 黑客 所 采取 的 攻击 方法 的 简单 描述 。 

。 跳 转 到 更 多 信息 的 链接 ， 这 样 你 不 会 花 太 多 时 间 去 查找 细 市 。 

。 对 威胁 所 造成 影响 的 统计 (使 你 可 以 更 明智 地 评估 其 对 公司 造成 的 风险 ) 。 
。 能 够 表明 对 现实 目标 发 起 攻击 的 可 能 性 的 案例 分 析 。 
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扫描 文章 会 花 一 些 时 间 ， 但 通过 查找 这 些 特征 ， 通 常 可 以 避免 阅读 没有 任何 实际 帮助 的 文 
章 。 重 要 的 是 你 能 在 不 浪费 大 量 时 间 的 情况 下 获得 所 需要 的 信息 。 过 一 段 时 间 之 后 ， 你 就 
能 开始 意识 到 哪些 专业 杂志 的 作者 最 适合 你 的 业务 需求 ， 进 而 集中 关注 他 们 所 写 的 文章 ， 
这 会 节省 很 多 时 间 。( 类 似 地 ， 你 也 可 以 找 出 哪些 作者 写 的 文章 毫 无 价值 ， 可 以 忽视 。) 


当 查 看 专业 杂志 的 文章 时 ， 要 记 住 作者 的 主要 工作 是 要 吸引 读者 以 推销 广告 里 
的 产品 。 这 就 是 在 线 杂 志 赚 钱 的 方式 。 因 此 ， 当 你 看 到 诸如 “Is your connected 
car spying on you?”(http://www.bbc.com/news/business-29566764) 这 类 标题 时 
要 格外 小 心 。 文 章 里 面 的 内 容 从 技术 上 讲 是 正确 的 ， 但 作者 会 运用 语言 技巧 
来 使 这 个 威胁 看 起 来 比 实际 上 严重 得 多 ; 另 一 个 这 样 的 案例 [文章 “9 Baby 
Monitors Wide Open to Hacks That Expose Users’ Most Private Moments” (http:// 




















arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-expose- 
users-most-private-moments/)] 与 婴儿 监控 设备 有 关 。 它 们 的 目的 是 赚 取 阅读 量 ， 
但 效果 则 是 产生 了 歇斯底里 的 现象 。 当 然 ， 你 可 能 想 要 知道 什么 汽车 或 婴儿 监 
探 设备 与 Web 应 用 程序 有 关 。 事 实 上 ， 现 在 有 许多 Web 应 用 程序 运行 在 汽车 
和 婴儿 监控 设备 中 ， 执 行 提供 娱乐 、 监 控 环 境 等 各 种 任务 。 即 使 你 的 公司 不 涉 
及 开发 这 类 Web 应 用 程序 ， 也 适用 同样 的 原则 。 


























使 用 专业 杂志 的 文章 来 定位 安全 威胁 信息 的 最 佳 理 由 是 ， 你 可 以 在 很 短 的 时 间 内 获得 大 量 
安全 威胁 的 信息 。 只 需要 扫描 所 知道 的 作者 写 的 标题 类 型 ， 就 能 在 短 短 几 分 钟 内 定位 最 重 
要 的 威胁 。 

使 用 专业 杂志 文章 的 主要 缺点 是 ， 文 章 缺 乏 深度 并 且 所 关注 文章 的 信息 量 较 少 。 你 要 确保 
你 严重 依赖 的 作者 是 能 够 提供 详细 链接 、 让 你 无 需 花 太 多 时 间 就 能 找到 所 有 细节 的 人 。 如 
果 你 发 现 专 业 杂 志 的 文章 开始 变 得 很 有 深度 ， 那 你 有 理由 怀疑 它 可 能 想 要 向 你 推销 产品 而 
不 是 提供 信息 。 尽 量 查找 短 的 、 有 足够 信息 、 带 有 大 量 链 接 的 文章 。 


16.1.2 ”查看 安全 网 站 
安全 网 站 会 提供 各 种 安全 威胁 的 详细 信息 。 安 全 网 站 可 能 不 会 讨论 每 一 种 当前 的 威胁 ， 但 
你 肯定 可 以 找到 大 部 分 当前 活跃 的 威胁 (以 及 可 能 是 安全 专家 过 去 粉碎 各 种 威胁 的 历史 )。 
事实 上 ， 所 有 这 些 信息 的 集合 使 得 安全 网 站 并 不 是 你 首要 访问 的 最 好 选择 。 你 真正 需要 做 
的 是 创建 一 份 要 研究 的 威胁 列表 ， 然 后 访问 安全 网 站 来 查找 这 些 威胁 。 
不 是 所 有 的 安全 网 站 都 是 相同 的 ， 许 多 在 互联 网 上 查找 安全 信息 的 人 通常 没 注意 到 这 点 。 
事实 上 ， 安 全 网 站 有 以 下 四 种 不 同 的 形式 ( 见 图 16-1 的 总 结 ) ， 每 一 种 都 有 它 自 己 的 优势 
和 缺点 。 
。 基于 公司 的 网 站 

基于 公司 的 网 站 常常 会 提供 在 某 个 领域 最 访 缩 的 信息 ， 但 缺乏 其 他 类 型 的 网 站 能 支持 的 
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信息 广度 。 例 如 ，SANS Institute (http:/www.sans.org/) 会 提供 大 量 研究 材料 。 它 还 会 
赞助 各 种 培训 活动 。 这 家 公司 ( 像 许 多 其 他 公司 一 样 ) 是 受 供应 商 支持 的 ， 但 至 少 在 看 
待 应 该 如 何 处 理 安全 问题 上 面 ， 你 不 会 得 到 单一 的 供应 商 视角 。 
。 政府 支持 的 网 站 

这 些 网 站 明显 是 基于 资助 它们 的 政府 的 需求 而 建立 的 ， 但 其 中 大 部 分 会 提供 公正 的 信 
息 ,适合 定位 当前 国际 性 安全 威胁 信息 。 如 美国 计算 机 应 急 准 备 小 组 (United States 
Computer Emergency Readiness Team，US-CERT，https:Wwww.us-certgovw) 和 国家 漏洞 
数据 库 (National Vulnerability Database，https://nvd.nist.gov/) 等 网 站 会 提供 大 量 有 用 的 
免费 提示 信息 和 出 版 物 。 


。 社区 支持 的 网 站 
在 能 访问 的 安全 网 站 中 ， 社 区 支持 的 网 站 最 有 趣 的 , 通常 会 提供 一 些 在 其 他 地 方 找 不 到 
的 深入 见解 。 它 们 会 有 某 种 议程 ， 而 这 个 议程 会 使 你 接收 到 的 信息 带 有 偏见 ， 但 是 这 个 
偏见 通常 不 足以 影响 你 接收 到 的 信息 的 质量 。 比 如 Vmyths (http:/vmyths.com/) 这 样 的 
网 站 可 以 帮 你 避免 伴随 着 安全 事件 披露 而 来 的 软 斯 底 里 。 


。 基于 供应 商 的 网 站 

基于 供应 商 的 网 站 通常 能 提供 其 他 来 源 无 法 比拟 的 信息 深度 ， 因 为 供应 商 想 要 给 你 留 下 
深刻 的 印象 。 但 是 ， 因 为 供应 商 也 在 积极 尝试 阻挡 各 种 威胁 ， 所 以 你 也 可 以 更 好 地 了 解 
需要 做 什么 来 准备 应 对 某 个 具体 的 威胁 。 如 Symantec Security Response (https://www. 
symantec.com/security_response/) 等 网 站 可 以 快速 地 确定 当前 在 互联 网 上 的 威胁 的 级 别 
以 及 哪些 威胁 最 有 可 能 给 大 部 分 人 造成 问题 。 


基于 供应 商 的 安全 网 站 是 要 向 你 销售 供应 商 的 安全 产品 。 当 你 在 浏览 这 种 网 
站 时 要 认识 到 : 里 面 的 文章 会 带 有 偏好 ， 会 引导 你 去 购买 他 们 宣传 的 能 解决 
安全 威胁 的 产品 。 有 时 候 你 确实 需要 一 款 第 三 方 的 产品 去 解决 问题 ， 但 是 仔 
细 的 研究 、 对 细节 的 关注 、 合 理 的 系统 配置 以 及 一 两 次 更 新 常常 会 比 购买 一 
个 产品 更 能 解决 威胁 问题 。 请 确保 在 采取 行动 之 前 检查 并 验证 了 从 这 类 安全 
网 站 中 获得 的 信息 。 在 购买 男 一 种 产品 之 前 ， 考 虑 一 下 用 你 已 经 可 以 支配 的 
方法 来 解决 问题 。 










































































有 些 网 站 专门 整合 来 自 其 他 信息 源 的 信息 。 例 如 ，Security Focus (http://www.securityfocus. 
com/) 、Open Source Vulnerability Database (OSVDB, http:/www.osvdb.org/) 和 Common 
Vulnerabilities and Exposures (CVE，https:/cve.mitre.org/) 会 提供 能 在 其 他 网 站 上 找到 的 
信息 的 索引 。 使 用 整合 网 站 可 以 节省 时 间 ， 但 是 也 会 让 你 遗失 一 些 重要 的 安全 通知 ， 因 为 
网 站 的 拥有 者 会 有 与 你 的 公司 需求 不 一 样 的 偏好 。 
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图 16-1: 选择 正确 的 安全 威胁 信息 源 是 很 重要 的 


若 要 人 研究 安全 威胁 ， 只 需要 访问 安全 网 站 。 否 则 ， 你 会 花费 很 多 精力 寻找 可 能 需要 处 理 的 
安全 威胁 的 概述 。 请 确保 访问 的 是 最 能 满足 对 某 个 具体 威胁 的 需求 的 网 站 。 例 如 ， 一 个 国 
家 针对 另 一 个 国家 发 起 的 国际 性 安全 威胁 可 以 在 政府 支持 的 网 站 上 得 到 最 佳 的 报道 。 墨 客 
会 先 加 密 硬盘 数据 然后 尝试 金融 诈骗 ， 这 类 事情 通常 在 基于 供应 商 的 网 站 上 有 更 详细 的 报 
道 。 如 果 你 觉得 某 个 威胁 像 是 骗局 ， 请 首先 访问 社区 支持 的 网 站 来 验证 它 。 


16.1.3 ”获取 顾问 的 意见 

本 章 到 目前 为 止 讨论 的 各 种 信息 源 都 有 一 个 共同 之 处 ， 那 就 是 它们 提供 的 都 是 由 外 部 信息 
源 支 持 的 一 般 性 信息 。 但 是 你 的 公司 不 是 一 个 一 般 性 的 实体 ， 根 据 运 行 的 各 种 应 用 程序 、 
运行 它们 的 环境 以 及 你 的 用 户 所 拥有 的 培训 水 平 ， 会 有 特殊 的 安全 性 要 求 。 在 某 些 情况 下 ， 
一 般 性 的 信息 源 无 法 提供 足够 的 信息 ， 它 们 提供 不 了 ， 因 为 这 些 信息 的 作者 对 你 的 公司 一 
无 所 知 。 在 这 种 情况 下 ， 你 通常 需要 购买 革 些 顾问 服务 来 处 理 安全 威胁 问题 。 


顾问 是 花 钱 请 来 的 ， 这 意味 着 他 们 提供 的 信息 可 能 有 更 强 偏见 。 毕 竞 ， 顾 问 
要 在 生意 中 赚钱 。 有 些 顾问 很 有 道德 ， 不 会 故意 多 收 钱 ， 但 顾问 与 你 之 间 存 
在 金钱 交易 关系 ， 并 且 与 其 他 信息 源 相 比 ， 顾 问 与 你 的 个 人 关系 更 密切 ， 所 
以 需要 谨慎 使 用 顾问 信息 源 。 你 需要 在 顾问 对 具体 业务 的 更 深 理解 与 他 们 会 
提供 带 偏 见 的 信息 之 间 寻 求 平衡 。 







































































顾问 可 以 提供 公司 所 面 对 的 特定 安全 威胁 的 特定 信息 。 比 起 创建 自己 的 策略 来 说 ， 他 们 的 
建议 可 以 更 快 地 用 来 处 理 威胁 。 当 然 ， 信 息 的 质量 与 价格 有 关 。 使 用 顾问 也 是 处 理 安全 威 
胁 最 昂贵 的 方式 。 对 于 大 多 数 人 来 说 ， 本 章 提供 的 主要 信息 源 可 以 提供 某 些 级 别 的 免费 支 
持 。 在 以 下 这 些 情 况 中 最 好 使 用 顾问 。 


。 你 已 经 知道 威胁 很 严重 。 
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。 你 无 法 制定 策略 来 快速 处 理 威胁 。 

理 这 些 威胁 所 要 求 的 技能 超出 了 你 的 公司 的 能 
理 这 些 威胁 需要 多 个 团队 之 间 的 协作 或 需要 联系 其 他 公司 。 
己 处 理 安全 威胁 不 可 靠 。 


16.2 ”避免 信息 泛滥 

墨客 猩 绝 ， 所 以 安全 问题 的 信息 泛滥 。 大 部 分 人 面临 着 严重 的 信息 泛滥 情况 。 有 可 能 收 件 箱 

里 堆 满 了 一 些 确实 应 该 阅读 的 文章 链接 ， 但 由 于 时 间 有 限 (比如 大 部 分 公司 里 都 会 有 的 无 休 

止 的 会 议 )， 你 无 法 点 击 每 个 链接 。 尽 管 如 此 ， 你 还 是 需要 花 时 间 去 指出 哪些 威胁 是 严重 到 

必须 采取 行动 的 ， 这 也 是 为 什么 需要 从 一 开始 就 防止 信息 泛滥 。 下 面 总 结 了 一 些 技巧 ， 可 用 

来 避免 信息 泛滥 并 且 完 全 避 开 安全 威胁 。 

(1) 仔细 选择 安全 信息 源 。 确 保 选 择 的 安全 信息 源 是 与 公司 需求 相关 的 ， 能 够 以 简单 的 方式 
展现 你 所 需要 的 信息 ， 并 且 能 够 恰当 提供 你 需要 的 细 闻 ， 而 不 会 有 过 度 的 情况 。 

(2) 能够 定位 潜在 的 安全 修复 ， 不 需要 依靠 应 用 程序 的 变更 。 在 茶 些 情况 下 ， 最 好 的 安全 信 
息 源 可 以 提供 快速 修复 问题 的 方法 ， 比 如 安装 一 个 浏览 器 或 其 他 什么 的 更 新 。 

(3) 创建 一 个 基于 任务 的 方法 来 处 理 威胁 。 如 果 无 法 用 一 句 话 来 概括 一 个 安全 威胁 ， 那 你 
就 是 没有 理解 它 ， 也 不 知道 自己 是 否 需要 做 什么 。 用 一 句 话 总 结 威胁 的 习惯 会 让 人 受 
益 终 身 。 

(4) 丢弃 喜欢 用 炒作 手法 处 理 安 全 威胁 的 信息 源 。 你 所 需要 的 没 别 的 ， 只 有 事实 。 当 信息 源 
开始 传播 炒作 时 ， 它 就 不 在 可 靠 了 。 

(5) 培养 批判 性 思维 的 能 力 。 有 些 聪 明 人 会 基于 不 采取 行动 时 可 能 出 现 的 最 糟糕 情况 来 规划 
他 们 的 行动 。 考 虑 最 糟糕 场景 中 的 威胁 有 助 于 识别 出 哪些 威胁 存在 最 高 的 风险 ， 所 以 值 
得 这 么 做 。 

(6) 避免 县 花 一 现 的 威胁 。 有 些 威胁 只 在 标题 里 出 现 了 一 次 ， 然 后 你 就 再 也 没 见 过 它 了 。 即 
使 对 这 个 威胁 的 预测 是 很 可 怕 的 ， 但 当 它 们 无 法 持续 太 长 时 间 ， 没 有 第 二 次 出 现在 标题 
上 时 ， 你 必须 怀疑 它 到 底 会 有 多 可 怕 。 

为 避免 不 堪 重 负 ， 请 确保 花 必 要 的 时 间 去 理解 威胁 实际 的 工作 方式 。 例 如 ， 你 可 能 听 过 像 

rowhammer (http:/www.rowhammer.com/) 这 样 可 能 给 系统 带 来 灾难 的 威胁 。 但 是 ， 当 你 

开始 深入 了 解 时 ， 会 发 现 这 是 一 个 有 趣 的 攻击 行为 ， 但 它 需要 某 种 类 型 的 系统 访问 权限 ， 

而 黑客 在 面 对 Web 应 用 程序 时 通常 没有 这 种 权限 。 因 此 ， 你 现在 可 以 忽略 rowhammer 了 。 

当然 ， 一 个 很 棒 的 安全 资源 会 从 一 开始 就 告诉 你 事实 是 怎样 的 ， 但 有 时 候 你 需要 自己 去 研 

究 ， 以 避免 被 没 用 的 信息 所 洽 没 。 


如 果 可 以 ， 请 一 定 要 使 用 数据 过 滤 。 用 关键 字 对 收集 的 信息 源 进行 快速 搜 
索 ， 可 以 帮 你 确定 一 个 威胁 是 否 真 的 是 你 应 该 考虑 解决 的 威胁 。 现 在 市 场 上 
有 许多 可 以 用 各 种 方法 过 滤 和 识别 信息 的 工具 。 知 道 如 何 高 效 地 利用 这 些 工 
具 可 以 在 长 期 的 运作 中 节省 不 少时 间 ， 而 你 现在 只 需要 花 一 些 额外 的 精力 去 


学 习 这 些 工具 。 
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16.3 为 基于 威胁 的 升级 制订 计划 


当 你 以 足够 快 的 速度 收 到 关于 某 个 潜在 威胁 的 信息 ， 而 修复 这 个 问题 需要 改动 的 代码 量 很 
大 时 ， 可 能 需要 升级 应 用 程序 。 当 然 ， 你 必须 首先 明确 是 否 需 要 采取 行动 。 有 一 些 威胁 确 
实 要 引起 注意 ， 但 它们 不 会 影响 应 用 程序 ， 因 为 需要 某 些 特别 的 访问 权限 或 者 只 会 影响 你 
根本 没有 用 到 的 软件 。 接 下 来 会 帮 你 明确 某 个 基于 安全 威胁 信息 的 升级 是 否 真 的 需要 ， 以 
及 确定 需要 之 后 如 何 升 级 。 


16.3.1 预 判 不 需要 采取 任何 行动 的 情况 

研究 安全 威胁 信息 文档 时 ， 都 会 觉得 这 个 威胁 听 起 来 很 可 怕 。 但 它 实 际 上 只 是 对 某 些 人 可 
怕 ， 对 于 你 来 说 可 能 根本 就 不 是 什么 问题 。 有 些 公司 常常 要 应 对 不 会 给 它们 造成 问题 的 威 
胁 。 简 言 之 ， 当 不 需要 做 任何 事情 时 ， 他 们 却 陷入 到 围绕 安全 威胁 的 区 斯 底 里 之 中 去 了 。 
当 你 检查 当前 的 安全 威胁 时 ， 需 要 考虑 媒体 上 提 到 的 危险 是 否 真 的 在 你 这 里 出 现 了 。 在 许 
多 情况 下 它们 并 没有 出 现 ， 不 需要 对 它们 做 任何 事情 。 和 置之不理 即 可 。 

当然 ， 问 题 在 于 你 要 能 达到 一 定 水 平 才 能 知道 某 个 威胁 会 不 会 影响 你 。 有 错失 威胁 很 严 
重 ， 因 为 它 会 造成 攻击 以 及 之 后 的 很 多 问题 (比如 网 站 崩溃 或 数据 泄露 )。 评 估 某 个 具体 
的 安全 威胁 会 带 来 的 闹 在 风险 涉及 以 下 事项 。 

。 确定 你 是 否 使 用 了 被 描述 为 引起 安全 威胁 的 技术 。 

。 考虑 一 引起 威胁 所 需 的 一 些 访问 是 否 真 的 发 生 在 你 的 公司 身上 。 

。 明确 在 哪 种 环境 下 你 的 公司 会 遭受 攻击 以 及 攻击 何 时 可 能 发 生 。 

。 检查 现 有 的 防卫 手段 以 确定 它们 是 否 足 以 阻挡 攻击 。 

。 确保 当 攻 击发 生 以 及 你 错 估 了 黑客 发 起 攻击 的 能 力 时 有 应 对 的 策略 。 


16.3.2 ”决定 升级 还 是 更 新 

第 13 章 和 第 14 章 讨 论 了 升级 和 更 新 。 但 是 在 现在 我 们 讨论 的 这 个 情况 里 ， 你 要 考虑 的 
由 于 安全 威胁 而 引发 的 升级 或 更 新 。 有 很 多 相同 的 规则 可 以 应 用 。 升 级 一 般 预 示 着 某 些 
大 的 代码 变动 ， 而 更 新 可 能 完全 没有 代码 变更 ， 但 可 能 会 反映 UI 的 改变 或 其 他 一 些 无 
修改 底层 代码 就 能 快速 更 改 的 元 素 。 因 此 ， 界 定 升 级 还 是 更 新 的 首要 方法 跟 你 在 进行 其 他 
变更 时 采用 的 方法 是 一 样 的 。 

安全 威胁 可 以 改变 升级 或 更 新 的 意图 和 紧迫 性 。 在 某 些 情况 下 ， 需 要 处 理 以 下 几 个 方面 的 问题 。 


(D 以 更 新 的 形式 处 理 安全 威胁 聚焦 的 问题 。 

(2) 升级 或 更 新 正在 支持 的 软件 〈 比 如 防火 墙 或 操作 系统 ) 以 确保 安全 威胁 不 能 从 另外 的 方 
向 发 起 攻击 。 

(3) 培训 用 户 ， 避 免 他 们 执行 任务 的 方式 会 提供 给 黑客 有 价值 的 信息 或 访问 途径 (黑客 可 利 
用 其 发 起 攻击 )。 

(4) 修改 目标 代码 周边 的 所 有 代码 ， 确 保 应 用 程序 在 发 布 更 新 之 后 能 按 升级 设计 的 那样 正常 
工作 。 
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(5) 执行 所 有 依赖 项 的 升级 ， 确 保 整 个 应 用 程序 稳定 。 

(6) 用 黑客 会 使 用 的 方法 进行 广泛 测试 以 验证 升级 后 的 应 用 程序 可 以 继续 阻挡 安全 威胁 。 
不 是 处 理 每 一 个 安全 威胁 都 要 执行 这 一 大 串 步 又 ， 但 要 在 决定 如 何 处 理 时 考虑 每 一 个 步 
又 。 你 可 能 会 发 现 只 要 一 次 更 新 就 足以 阻挡 威胁 ， 或 者 一 次 操作 系统 的 升级 就 是 你 真正 需 
要 的 。 关 键 是 要 考虑 安全 威胁 与 你 的 应 用 程序 及 其 支持 的 数据 有 关 的 各 个 可 能 的 方面 。 

有 时 候 你 真 的 需要 就 使 用 升级 还 是 更 新 来 修复 安全 威胁 作出 快速 的 决定 。 这 一 部 分 所 述 的 
步骤 当然 是 有 用 的 ， 但 图 16-2 里 的 流程 图 可 以 提供 更 加 快速 的 作 决 定 的 方法 。 





























执行 最 小 执行 大 范 
化 的 升级 围 的 测试 














图 16-2: 快速 决定 升级 还 是 更 新 有 时 候 是 必需 的 
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当面 对 零 日 攻击 时 ， 通 常 最 好 的 方法 是 在 尽 可 能 短 的 时 间 内 执行 自己 创建 的 更 
新 并 测试 。 黑 客 不 会 在 攻击 你 的 系统 之 前 等 待 你 发 布 更 新 。 事 实 上 ， 黑 客 会 希 
望 你 陷入 到 流程 和 公司 政策 当中 ， 这 样 他 们 就 有 更 多 的 时 间 去 攻击 你 的 应 用 程 
序 。 速 度 是 阻挡 黑客 的 一 个 关键 因素 ， 但 请 确保 在 每 次 发 布 之 前 测试 所 有 的 软 
件 以 保证 你 不 会 使 事情 变 得 更 精 。 消 除 安全 威胁 要 求 尽快 发 布 精准 的 策略 。 









































16.3.3 ”定义 升级 计划 

第 13 章 描 述 了 应 用 程序 的 标准 升级 过 程 。 它 详细 描述 了 一 个 需要 几 个 月 来 完成 的 升级 过 
程 。 当 然 ， 你 在 进行 这 种 应 用 程序 的 升级 时 ， 有 时 间 去 仔细 和 完全 地 执行 各 种 任务 。 安 全 
威胁 很 少 会 给 你 几 个 月 的 时 间 去 创建 升级 并 发 布 。 能 获得 预先 警告 来 执行 长 期 升级 的 唯一 
方式 是 ， 正 好 有 人 能 够 在 安全 威胁 信息 一 出 来 时 就 获得 它 (许多 有 道德 的 黑客 会 在 将 信息 
公之于众 之 前 给 供应 商 三 个 月 到 一 年 的 时 间 去 修复 它 )。 


由 专门 进行 安全 测试 的 公司 对 应 用 程序 进行 持续 测试 可 以 提供 给 你 更 多 升级 
的 主导 时 间 。 安 全 测试 公司 可 以 在 应 用 程序 中 潜在 的 缺陷 变 成 公开 信息 之 前 
发 现 它们 。 当 然 ， 为 了 得 到 这 种 提前 的 信息 ， 你 必须 要 愿意 为 这 种 价格 不 非 
的 服务 付款 。 

















当 用 升级 来 响应 安全 威胁 时 ， 为 了 在 短 时 间 内 发 布 升级 ， 你 需要 考虑 创建 升级 和 逐步 测试 
的 方法 。 敏 捷 开 发 技术 (http://agilemethodology.org/) 能 帮 你 完成 这 个 任务 。 当 然 ， 如 
果 你 的 公司 平时 没有 使 用 敏捷 开发 技术 ， 花 时 间 去 学 习 它 也 没有 太 大 的 作用 。 尽 管 如 此 ， 
升级 计划 还 是 应 该 包含 一 些 能 比 平时 更 快 地 开发 代码 和 测试 的 方法 。 在 威胁 应 对 过 去 之 
后 ， 需 回头 检查 代码 ， 并 确保 没有 在 修复 这 个 安全 威胁 带 来 的 漏洞 过 程 中 引入 更 多 的 安 
全 漏洞 。 

14.4 节 讨 论 了 一 个 快速 响应 团队 的 需求 。 在 许多 情况 下 ， 使 用 这 个 团队 来 把 升级 放 在 一 起 
会 节省 时 间 ， 也 可 能 会 增加 费用 。 这 个 团队 已 经 熟悉 如 何 快速 地 处 理 更 新 。 使 用 它 来 进行 
升级 以 应 对 某 些 安全 威胁 是 有 意义 的 。 但 是 ， 你 要 确保 这 个 团队 里 有 合适 的 人 员 来 处 理 升 
级 。 你 有 可 能 需要 增加 团队 成 员 来 提供 一 般 更 新 不 要 求 的 服务 。 


许多 公司 面 对 的 致命 问题 是 变 得 鞭 斯 底 里 并 要 求 持 续 更 新 的 管理 者 。 ”我们 
好 了 吗 ” 这 样 的 问题 绝对 会 拖 慢 升级 的 过 程 。 负 责 升级 的 开发 团队 应 该 定期 
向 管理 层 报告 ， 但 管理 层 也 应 该 认识 到 需要 让 开发 团队 平静 地 工作 。 否 则 ， 
当 一 名 重要 的 团队 成 员 在 做 一 份 不 必要 的 报告 时 ， 黑 客 就 有 可 能 入 侵 你 的 系 


ee 
统 造成 虐 梦 。 



















































































16.4 为 基于 威胁 的 更 新 制订 计划 


在 某 些 情况 下 ， 你 会 在 很 短 的 时 间 内 收 到 安全 威胁 信息 ， 需 要 现在 就 进行 一 次 更 新 并 在 稍 
后 进行 一 次 升级 。 更 新 很 少 会 改变 应 用 程序 的 代码 并 且 有 时 候 根本 不 会 影响 代码 。 作 为 基 
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汝 


于 威胁 信息 的 更 新 计划 的 一 部 分 ， 你 需要 考虑 更 新 是 否 真 的 很 紧急 。 此 外 ， 你 还 需要 考 
对 你 在 应 用 程序 中 所 依赖 的 第 三 方 软件 的 影响 。 


16.4.1 验证 更 新 是 否 可 解决 威胁 


本 章 介绍 执行 的 速度 。 当 你 识别 出 一 个 安全 威胁 时 ， 需 要 尽快 对 信息 作出 响应 。 因 此 ,更 
新 是 解决 这 个 问题 的 最 佳 方法 ， 因 为 更 新 需要 更 少 的 时 间 、 更 少 的 资产， 并 且 在 测试 期 间 
可 能 造成 的 问题 更 少 。 在 这 种 情况 下 ， 更 新 不 只 是 意味 着 针对 你 的 应 用 程序 的 更 新 。 更 新 
可 以 包括 以 下 事项 。 


。 调整 已 有 安全 软件 

。 更 改 宿主 平台 

。 修改 宿主 浏览 器 

。 通过 用 户 培训 或 其 他 方法 促成 流程 的 变更 

。 通过 非 代码 或 轻 量 代码 变动 的 方法 来 对 底层 应 用 进行 更 新 

。 修改 依赖 的 软件 (比如 库 、API 和 微服 务 ) 

遗憾 的 是 ， 不 是 每 次 更 新 都 能 修复 问题 。 如 果 目 标 是 要 阻挡 一 个 安全 威胁 ， 那 么 最 佳 的 处 
理 方 式 是 首先 找到 正确 的 行动 方向 ， 因 为 浪费 时 间 党 试 其 他 方法 只 会 延迟 有 效 方法 的 采 
用 。 黑 客 不 会 一 直 在 等 待 。 有 了 时候 处 理 速 度 要 慢 下 来 以 进行 更 多 细 市 的 修复 ， 并 且 承 认 你 
需要 更 多 的 时 间 ， 而 不 是 能 够 轻易 修复 好 。 


问题 的 核心 在 于 要 找到 黑客 使 用 的 攻击 类 型 。 例 如 ， 中 间 人 攻击 可 能 只 需要 你 正确 地 加 密 
传人 和 传 出 的 数据 并 加 倍 小 心 。 此 外 ， 它 还 要 求 额 外 的 认证 和 授权 方法 。 这 类 攻击 无 法 用 
更 新 轻易 地 修复 ， 因 为 你 要 查找 数据 准备 、 发 送 和 处 理 的 方式 ， 而 这 三 个 任务 都 是 底层 代 
码 必须 执行 的 。 


DDoS 攻击 可 以 用 更 新 来 解决 ,更改 安 全 软件 的 设置 、 提 供 人 额外 的 系统 资源 以 及 重新 配置 
平台 ， 这 些 措施 都 可 以 使 这 样 的 攻击 难以 奏效 。 你 也 能 够 通过 用 户 培训 、 修 改 UI 以 及 更 
改 应 用 程序 的 安全 设置 来 修复 社会 工程 学 攻击 。 攻 击 的 类 型 决定 了 更 新 是 否 合适 。 在 许多 
情况 下 ， 你 会 发 现 通过 更 新 你 至 少 可 以 降低 攻击 发 生 的 可 能 性 ， 但 可 能 无 法 完全 修复 它 。 


































































































处 理应 用 程序 的 停机 时 间 

大 部 分 人 不 愿 谈论 应 用 程序 的 停机 时 间 ， 特 别 是 与 安全 问题 相关 时 。 当 应 用 程序 停机 
时 ， 人 们 会 开始 问 各 种 问题 ， 而 问题 通常 会 导致 怀疑 ( 真 的 还 是 假 的 ) 。 在 某 些 时 候 ， 
问题 变 成 了 你 是 否 要 在 有 攻击 的 情况 下 继续 让 应 用 程序 运行 ， 还 是 你 是 否 必 须 将 其 关 
闭 以 避免 在 稍 后 又 遭受 伤害 。 在 某 些 情况 下 ， 黑 客 不 会 给 你 选择 的 机 会 ; 攻击 本 身 会 
导致 应 用 程序 以 某 种 特殊 的 方式 甬 溃 。 关 键 在 于 黑客 确实 会 使 应 用 程序 停机 ， 而 这 永 
远 不 会 使 赞成 停机 的 IT 人 员 愉 快 。 

尽管 广告 里 经 常 看 到 某 些 公司 宣传 99.999% 的 正常 运行 时 间 ， 但 停机 现象 确实 存在 。 
当然 ， 大 公司 的 停机 事件 会 出 现在 主流 专业 杂志 文章 里 ,让 企业 更 难堪 。 有 一 件 事 很 
有 趣 ， 这 些 文 章 通 常会 包含 导致 停机 的 模糊 (并 且 可 能 是 不 正确 的 ) 理由 (请 参阅 
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http://www.zdnet.com/article/microsoft-explains-roots-of-thisweeks-office-365-downtime/) 。 
但 是 ， 有 了 时候 停机 以 及 随后 的 数据 丢失 是 因为 其 他 原因 ， 上 比如 自然 的 力量 (请 参阅 
http://www.computerworld.com/article/2974260/data-center/mother-nature-teaches-google-a- 


lesson.html) 。 关 键 在 于 ， 停 机 会 由 于 各 种 原因 发 生 在 每 个 人 身上 。 


当 攻 击 使 你 开始 担心 数据 丢失 、 系 统 完 整 性 损失 或 者 是 严重 的 破坏 时 ， 你 可 以 考虑 让 
应 用 程序 甚至 整个 系统 停机 。 这 样 做 就 有 时 间 去 执行 所 有 必要 的 更 新 ， 然 后 尝试 让 系 
统 重 新 上 线 。 虽 然 停机 被 管理 层 视 为 消极 的 处 理 方法 ， 但 有 时 候 它 是 防止 出 现 严重 损 
失 的 最 佳 方法 ， 这 些 损 失 得 花 上 几 周 或 几 个 月 去 弥补 (通常 会 涉及 更 多 的 停机 )。 














16.4.2 ”确定 威胁 是 否 紧急 

在 谈论 安全 威胁 时 ， 很 重要 的 是 要 确定 威胁 是 否 紧 急 。 第 14 章 讨 论 了 从 普通 更 新 的 角度 
来 看 的 关于 紧急 的 标准 。 除 了 一 般 的 考虑 ， 在 处 理 安全 威胁 问题 时 还 需要 考虑 以 下 事项 。 
。 主动 以 你 的 系统 或 应 用 程序 为 目标 的 任何 零 日 安全 威胁 。 

。 任何 进行 中 的 攻击 。 

。 直接 向 公司 或 其 某 个 职员 发 起 的 重大 、 可 验证 的 威胁 。 

。 针对 你 所 依赖 的 库 、API 或 微服 务 的 攻击 。 


16.4.3 ”定义 更 新 计划 


第 14 章 定义 了 更 新 计划 的 要 求 。 在 处 理解 决 安全 威胁 的 更 新 时 ， 你 要 使 用 快速 响应 团队 
来 确保 更 新 是 完整 的 并 且 以 及 时 的 方式 被 测试 (请 参阅 14.4.2 市 )。 确 保 你 考虑 了 16.3.3 
节 中 讨论 的 同样 类 型 的 问题 也 是 很 重要 的 。 例 如 ， 使 用 敏捷 开发 技术 会 使 事情 进展 得 更 
快 ， 并 减少 获得 好 的 更 新 所 需 的 时 间 。 


16.4.4 “要求 来 自 第 三 方 的 更 新 

有 时 候 许 多 开发 团队 在 匆忙 进行 升级 时 会 忘记 处 理 依赖 项 的 需求 。 如 果 依 赖 代 码 是 可 信赖 
的 且 你 正在 使 用 最 新 的 版 本 ， 可 能 不 必 去 立刻 检查 更 新 ， 但 确实 需要 让 第 三 方 认 识 到 它 在 
产品 中 的 潜在 安全 问题 并 要 求解 决 这 些 问 题 。 否 则 ， 任 何 修复 可 能 都 无 法 继续 发 挥 作用 ， 
墨客 会 选择 另外 的 攻击 手段 。 
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即使 是 遵循 最 佳 实践 并 使 用 了 各 种 最 新 反 黑 客 策略 的 安全 应 用 程序 ， 也 很 容易 因为 用 户 没 
有 安全 意识 而 被 攻破 。 社 会 工程 学 攻击 仍然 是 入 侵 组 织 最 有 效 的 手段 。 这 并 不 是 说 用 户 轧 
蠢 或 没有 能 力作 出 好 的 选择 ， 事 实 是 他 们 通常 没有 接受 适当 的 培训 并 且 缺 乏 巩 固 所 学 知识 
的 需求 。 仅 仅 为 了 完成 任务 而 进行 培训 不 会 取得 任何 成 果 ， 除 非 知 识 经 过 反复 检验 ， 期 间 
有 过 失败 (或 者 成 功 )。 


但 是 ， 开 发 人 员 、 系 统管 理 员 、 管 理 层 以 及 公司 里 的 所 有 其 他 人 员 也 有 培训 需求 。 没 有 适 
当 的 培训 ， 你 就 不 能 期 望 公司 能 够 阻止 黑客 。 开 发 人 员 需 要 密切 留意 新 的 威胁 并 修复 安全 
漏洞 ， 系 统管 理 员 需 要 对 潜在 的 攻击 行为 保持 警惕 ， 管 理 层 需要 知道 提供 资产 来 保证 应 用 
程序 安全 的 必要 性 。 总 之 ， 每 个 人 都 有 需要 经 过 一 定 级 别 的 培训 才能 完成 的 任务 。 


本 章 会 讨论 一 些 帮 助 相 关 人 员 得 到 培训 的 方法 ， 这 样 应 用 程序 可 以 执行 得 更 好 ， 墨 客 也 不 
太 容 易 发 起 攻击 。 培 训 不 会 解决 所 有 问题 ， 但 是 将 良好 的 培训 与 安全 的 应 用 程序 、 合 适 的 
支持 软件 以 及 设计 良好 的 库 、API 和 微服 务 相 结合 ， 会 让 黑客 重新 考虑 是 否 要 发 起 攻击 。 
坚定 的 黑客 总 是 能 够 破坏 你 的 安全 性 ， 但 如 果 你 能 给 墨客 一 个 很 好 的 理由 去 另外 寻找 缺乏 
有 效 防御 措施 的 目标 ， 这 肯定 是 值得 的 。 










































































制订 专门 的 培训 
本 章 使 用 培训 一 词 泛 指 各 类 培训 ， 因 为 所 讨论 的 大 部 分 问题 适用 于 所 有 类 型 的 培训 。 
无 论 进行 什么 类 型 的 培训 ， 都 必须 给 培训 留 出 一 些 场地 空间 。 
菜 些 培训 确实 具有 普 适 性 。 例如， 公司 的 每 个 群体 都 需 要 接受 公司 安全 流程 方面 的 培 
训 。 无 论 这 个 群体 是 包含 用 户 、 开 发 人 员 、 系 统管 理 员 还 是 管理 层 ， 每 个 人 部 需 要 知 
道 公司 的 规定 以 确保 安全 流程 正常 运行 。 
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但 是 ， 某 些 培训 是 非常 具体 的 。 用 户 可 能 需要 有 关 数 据 输 入 的 培训 。 为 此 ， 你 要 调整 
培训 区 域 的 大 小 ， 使 其 适合 于 只 包含 用 户 的 小 群体 。 开 发 人 员 在 大 多 数 情况 下 是 一 个 
更 小 的 群体 ， 他 们 可 能 需要 专门 针对 访问 库 、API 或 微服 务 的 培训 。 可 能 有 些 培训 信 
息 是 敏感 的 ， 所 以 你 需要 划 定 更 小 的 培训 区 域 以 达到 所 需 的 保密 程度 。 


针对 群体 的 需求 制订 专门 的 培训 是 很 重要 的 。 确 保 满足 这 些 群 体 的 隐私 、 规 模 和 技术 
需求 也 是 很 重要 的 。 在 你 寻找 具体 的 培训 场地 时 ， 要 考虑 培训 对 象 会 如 何 学 习 。 例 如 ， 
如 果 该 群体 要 求 使 用 投影 仪 ， 那么 你 需要 一 个 有 适当 设备 和 足够 电力 的 房间 来 满足 这 
一 需求 。 本 书 不 是 关于 演讲 的 ， 但 是 在 没有 首先 满足 群体 中 每 个 人 的 培训 需求 时 尝试 
讨论 安全 性 会 使 你 的 演讲 以 失败 而 告终 。 











17.1 制订 内 部 的 安全 培训 计划 


根据 公司 规模 大 小 ， 一 份 内 部 的 培训 计划 比 起 聘请 第 三 方 的 培训 师 或 培训 学 校 可 能 会 更 省 
钱 并 且 效 果 更 好 。 这 个 方法 的 好 处 是 你 可 以 讲授 应 用 在 你 的 公司 里 的 安全 措施 ， 这 意味 着 
你 的 员工 可 以 在 很 短 的 时 间 里 获得 相关 的 信息 。 其 缺点 是 内 部 的 培训 师 可 能 没有 专业 培训 
师 所 拥有 的 技能 、 教 育 背景 或 经 验 。 接 下 来 我 们 讨论 内 部 安全 培训 的 需求 。 


与 安全 工作 的 其 他 许多 方面 一 样 ， 选 择 内 部 安全 培训 时 必须 考虑 风险 因素 。 
确实 ， 培 训 师 知道 公司 所 有 的 安全 性 要 求 ， 但 是 公司 提供 的 文档 可 能 不 完整 
或 者 是 错误 的 。 风 险 就 在 于 会 给 你 的 员工 提供 错误 的 信息 ， 即 使 这 些 信息 与 
你 的 公司 认为 正确 的 原则 保持 一 致 。 使 用 外 部 培训 通常 会 使 员工 谈 及 最 新 的 
安全 趋势 ， 并 且 可 能 促使 你 的 员工 就 安全 计划 作出 改变 ， 以 更 好 地 促进 公司 
内 的 安全 流程 。 









































r 














17.1.1 定义 所 需 的 培训 

在 为 公司 举行 培训 活动 之 前 ， 你 需要 知道 员工 需要 哪些 培训 。 公 司 里 的 每 个 人 都 需要 某 些 级 
别 的 培训 ， 即 使 是 那些 已 经 接受 过 专业 培训 的 人 。 创 建 一 份 所 需 培 训 的 清单 可 以 调整 培训 
课程 并 让 你 的 投入 获得 更 高 的 价值 。 此 外 ， 因 为 公司 的 培训 资源 通常 是 非常 有 限 的 ， 所 以 
你 需要 从 它们 身上 获得 最 大 的 价值 。 为 此 ， 考 虑 将 以 下 这 些 癌 题 作 为 培训 计划 的 一 部 分 。 

。 员工 当前 的 技能 水 平 

。 普遍 的 培训 需求 (整个 行业 的 需求 ) 

。 针对 具体 公司 的 培训 需求 (比如 表单 或 流程 的 使 用 ) 

。 可 参与 的 员工 

。 可 用 的 培训 师 

。 培训 师 对 员工 需求 的 熟悉 程度 

。 可 用 的 培训 地 点 

除非 你 为 达到 培训 目标 创建 有 用 的 计划 ， 否 则 员工 将 一 无 所 获 ， 培 训 师 会 有 挫折 感 ， 而 你 








4 
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投入 的 时 间 将 写 无 价值 。 重 要 的 是 要 理解 ， 内 部 培训 的 好 处 只 是 在 于 可 以 利用 内 部 环境 来 
量 身 定制 满足 需求 的 培训 。 例 如 ， 在 一 个 安静 的 房间 里 ， 培 训 师 可 以 一 对 一 地 对 有 特殊 需 
求 的 员工 提供 培训 ， 甚 结果 会 比 在 一 个 嘲 杂 的 教室 里 要 好 。 


17.1.2 ”设置 合理 的 目标 

内 部 培训 的 主要 问题 是 ， 管 理 层 会 设置 不 合 实际 的 目标 ， 而 培训 师 又 缺乏 引导 管理 层 走 向 

正确 方向 的 经 验 。 因 为 员工 可 能 会 不 愿意 参与 培训 ， 所 以 他 们 有 时 候 会 觉得 培训 师 应 该 让 

他 们 休息 (以 参加 培训 的 名 义 )。 没 有 明确 定义 的 目标 无 法 使 任何 人 获得 他 们 想 要 的 东西 ， 

他 们 其 至 不 知道 自己 获得 了 什么 。 没 有 合理 的 、 明 确定 义 的 目标 通常 会 导致 精心 准备 的 培 

训 课 程 失 败 。 总 之 ， 目 标的 设置 是 进行 培训 工作 的 关键 。 以 下 是 一 些 在 设置 公司 培训 目标 

时 需要 考虑 的 事项 。 

。 基于 公司 真正 的 培训 需求 设置 目标 ， 而 不 是 基于 可 有 可 无 的 需求 。 

。 明确 每 一 个 人 都 能 理解 的 目标 ， 使 用 大 家 都 能 理解 的 语言 ， 而 不 是 行 话 。 

。 确保 目标 与 员工 的 学 习 能 力 一 致 ， 而 不 是 你 认为 他 们 应 该 学 习 什么 。 

。 设置 目标 以 有 效 利用 你 的 可 用 时 间 ， 并 留 出 额外 的 时 间 给 更 难 的 主题 ， 因 为 员工 肯定 会 
有 疑问 ， 或 者 不 理解 你 的 材料 。 

。 提供 时 间 给 需要 单独 培训 的 员工 和 错过 了 培训 时 间 的 员工 。 

。 考虑 培训 中 所 有 相关 人 员 的 意见 : 管理 层 、 培 训 师 和 员工 都 应 该 在 培训 课程 中 有 一 定 的 
发 言 权 。 

只 有 当 培 训 计 划 包 含 合 理 的 目标 时 ， 才 能 期 望 获得 成 果 。 重 要 的 是 要 明白 ， 你 可 能 无 法 达 

成 所 有 目标 ， 所 以 给 目标 请 单 设 置 级 别 (达到 一 定 级 别 的 目标 仍然 被 认为 是 成 功 的 ) 很 重 

要 。 你 总 是 可 以 在 稍 后 开展 另外 的 培训 以 解决 难度 较 高 的 目标 ， 而 重要 的 是 要 在 培训 课程 

中 获得 可 以 展示 的 结果 ， 这 样 当 管理 层 问 起 培训 情况 时 你 可 以 指出 完成 的 目标 。 


看 起 来 似乎 培训 师 应 该 为 培训 设置 目标 , 但 在 许多 情况 下 这 并 不 是 最 好 的 做 
法 。 培 训 师 需要 花 时 间 准 备 给 员工 培训 新 技术 ， 所 以 协调 培训 课程 会 给 培训 师 
带 来 不 必要 的 负担 。 指 定 另 一 个 人 来 协调 大 家 的 工作 ， 这 在 许多 情况 下 效率 更 
高 。 这 样 ， 所 有 相关 人 员 可 以 关注 各 自 要 关注 的 具体 领域 。 











































































































17.1.3 ”使 用 内 部 培训 师 
许多 公司 要 求 员 工 进行 必需 的 培训 。 在 许多 情况 下 ， 使 用 内 部 培训 师 是 可 以 接受 的 ,但 
有 些 情况 需要 聘请 顾问 或 专业 培训 师 以 获得 好 的 结果 。 使 用 内 部 培训 师 有 利 有 闵 。 其 优 
点 如 下 。 
。 低 成 本 

在 大 多 数 情况 下 ， 使 用 内 部 培训 师 会 比 聘 请 专业 培训 师 便宜 得 多 。 
。 数 悉 程度 高 

内 部 培训 师 已 经 很 熟悉 公司 规定 以 及 实施 这 些 规 定 的 员工 ， 所 以 更 容易 提供 个 性 化 的 


指导 。 
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实用 
采用 内 部 培训 意味 着 可 以 根据 公司 的 需求 而 不 是 培训 师 的 需求 来 安排 培训 日 期 。 此 外 ， 
有 疑问 的 员工 在 需要 的 时 候 可 以 直接 找到 培训 师 。 

方便 

在 大 多 数 情况 下 ， 使 用 内 部 培训 师 会 比 在 公司 外 部 寻找 有 相关 知识 的 培训 师 更 方便 。 有 
效 地 聘请 外 部 人 员 意 味 着 必须 花 时 间 为 不 会 成 为 公司 员工 的 人 安排 面试 。 

知 根 知 底 
公司 已 经 知道 了 内 部 培训 师 的 知识 水 平 、 可 信任 程度 以 及 能 力 。 而 有 些 在 面试 过 程 中 表 
现 良 好 的 外 部 人 员 会 在 进行 实际 培训 时 表现 很 差 ， 低 于 你 的 预期 。 












































为 了 利用 这 些 优点 ， 管 理 层 必须 使 培训 师 和 员工 愿意 参与 到 培训 过 程 中 来 。 即 使 在 最 理想 
的 情况 下 ， 使 用 内 部 培训 师 也 至 少 会 有 以 下 这 些 缺 点 。 








缺乏 尊 阁 

员工 和 培训 师 已 经 非常 熟悉 。 教 室 环境 要 求 培训 师 获 得 尊敬 ， 而 其 他 员工 可 能 会 拒绝 给 
予 这 种 尊敬 。 

缺乏 时 间 

内 部 培训 师 会 将 精力 投 在 培训 任务 上 而 不 是 处 理 日 常 业务 上 。 你 无 法 期 望 他 在 这 两 方面 
都 表现 颇 佳 。 这 意味 着 在 培训 课程 前 后 你 会 失去 一 名 员工 。 

缺乏 技能 

通常 来 说 ， 任 何 内 部 培训 师 在 技能 方面 都 不 能 与 全 职 进行 培训 的 人 旗 鼓 相当 。 科 班 出 身 
的 培训 师 是 个 例外 。 

缺乏 经 验 

即使 某 人 有 所 需 的 技能 和 教育 背景 ， 但 没有 全 职 参 与 培训 任务 这 一 事实 意味 着 他 缺少 全 
职 培训 师 所 拥有 的 经 验 。 














17.1.4 监控 结果 


培训 是 一 个 监控 和 调整 的 过 程 。 不 能 简单 地 将 信息 灌输 进 人 们 的 脑子 并 期 望 会 产生 作用 
(至 少 现在 还 不 行 )。 学 校 要 进行 考试 的 理由 就 是 帮助 老师 明白 在 当前 环境 下 的 不 足 并 帮忙 
进行 调整 。 培 训 同 样 如 此 。 为 了 取得 最 佳 的 结果 ， 必 须 监控 培训 工作 并 作出 调整 ， 以 适应 
不 同 的 人 以 及 他 们 对 主题 的 不 同 理解 。 当 然 ， 与 工作 相关 的 考试 可 以 有 许多 形式 。 以 下 是 
一 些 监控 培训 有 效 性 的 做 法 。 
































书面 考试 

学 校 用 考试 来 衡量 培训 的 效果 ， 这 在 企业 环境 中 也 同样 有 效 。 当 然 ， 有 些 人 知道 如 何 应 
对 考试 〈 其 实 并 没有 真正 理解 培训 内 容 )， 而 有 些 人 则 相反 (虽然 非常 理解 培训 内 容 )。 
所 以 ， 这 不 应 该 是 评估 培训 成 功 与 否 的 唯一 方法 。 

实际 动手 的 测试 

另 一 种 检查 结果 的 方式 是 创建 一 个 测试 场景 并 让 员工 展示 他 们 接受 到 的 培训 。 在 书面 考 
试 中 不 及 格 的 人 常常 在 实际 动手 的 测试 中 做 得 更 好 。 但 是 ， 这 类 测试 仍然 有 与 书面 考试 
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一 样 的 问题 : 有 人 就 是 能 够 在 不 真正 理解 培训 材料 的 情况 下 操作 得 更 好 。 

。 实践 因素 
培训 应 该 在 整体 工作 效率 和 生产 力 方面 产生 明显 的 效果 。 简 单 地 查看 培训 如 何 影 响 业 务 
可 以 证 明 培训 是 否 有 效 。 例 如 ， 明 显 下 降 的 安全 相关 错误 数 表 明 安全 培训 达到 了 预期 目 
标 。 

。 监控 结果 
从 整体 上 查看 业务 情况 可 能 无 法 让 你 完全 了 解 培训 效果 。 有 时 候 ， 你 需要 监控 特定 的 业 
务 领域 (比如 电子 邮件 攻击 成 功率 的 下 降 等 )， 才 能 知道 培训 是 否 按 预 期 起 效 。 

。 交叉 培训 
教授 其 他 人 正确 地 执行 任务 是 许多 公司 没有 想到 的 评估 培训 成 功 与 否 的 一 个 方法 。 为 了 
培训 其 他 人 ， 员 工 必须 很 好 地 吸收 知识 以 有 效 地 运用 它 。 交 又 培训 可 以 证 明 员工 真正 理 
解 了 培训 材料 并 且 能 够 表达 出 来 让 其 他 人 理解 。 


在 监控 过 程 中 会 出 现 的 一 个 严重 问题 是 ， 有 人 会 有 受 威胁 的 感觉 ， 并 且 工 作 
效率 会 降低 。 举 一 个 例子 ， 当 没 能 达到 某 个 特定 的 培训 目标 时 ， 似 乎 每 个 人 
都 要 去 责备 某 人 或 菜 件 事 。 但 是 ， 失 败 只 是 表明 需要 更 多 的 培训 ， 而 不 是 
需要 责备 (请 参阅 文章 “Defining the Benefits of Failure”， 网 址 为 http://blog. 
johnmuellerbooks.com/2013/04/26/defining-the-benefits-of-failure/) 。 失败 的 原 
因 有 很 多 ， 而 不 只 是 由 于 一 个 人 的 错误 。 浪 费时 间 责 备 他 人 是 不 会 产生 生产 
力 的 。 更 好 的 做 法 是 正视 失败 发 生 的 事实 并 提供 补救 的 培训 。 



























































当 你 监控 培训 的 结果 时 ， 可 以 了 解 员工 实际 掌握 了 哪些 知识 。 针 对 没有 达到 培训 目标 的 
知识 ， 你 可 以 重新 创建 目标 并 尝试 其 他 讲授 培训 材料 的 方法 。 重 复 相 同 的 培训 方法 通常 
会 产生 相同 的 结果 ， 对 相同 的 材料 制订 不 同 的 培训 方法 对 于 确保 员工 真正 吸收 它 是 很 重 
要 的 。 

当 培 训 正 在 进行 时 ， 你 可 以 利用 检查 已 达到 的 目标 的 机 会 ， 在 员工 已 积累 的 知识 之 上 设置 
新 的 目标 。 重 要 的 是 不 要 创建 大 量 的 目标 清单 ， 这 会 让 学 习 任 务 看 起 来 无 法 完成 。 你 需要 
做 的 是 创建 一 些 能 够 很 快 达成 的 小 步骤 ， 这 样 员 工 可 以 保持 对 培训 的 积极 态度 。 

培训 方案 的 最 终 目 标 是 保证 应 用 程序 及 其 相关 数据 的 安全 。 就 像 本 书 在 前 面 提 到 的 ， 公 司 
获得 安全 环境 的 唯一 方式 是 获得 员工 的 支持 。 通 过 培训 ， 可 以 获得 员工 对 应 用 程序 的 信 
任 ， 并 确保 每 个 人 对 安全 在 工作 环境 中 扮演 的 角色 有 更 好 的 理解 。 获 得 这 种 结果 的 唯一 方 
式 是 保持 积极 的 环境 。 


< ea 2 号 | 
17.2 ”获取 第 三 方 对 开发 人 员 的 培训 
第 三 方 的 培训 通常 能 提供 针对 一 般 性 安全 信息 的 培训 ， 这 能 够 很 好 地 满足 大 多 数 公司 的 需 
求 。 当 然 ， 比 起 使 用 内 部 培训 师 ， 这 种 一 般 性 培训 会 有 更 多 的 开支 ， 所 以 你 在 花 更 多 钱 的 
同时 却 只 能 得 到 较 少 与 你 的 公司 相关 的 信息 。 但 是 ， 在 大 多 数 情况 下 ， 员 工 接 受 的 培训 会 
比 内 部 培训 更 专业 和 及 时 。 通 过 第 三 方 ， 你 获得 的 是 培训 的 质量 。 
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不 是 所 有 的 第 三 方 培训 都 是 相同 的 。 获 得 第 三 方 培训 有 多 种 方式 ， 每 种 方式 都 有 利 有 弊 。 





下 中 


i 列 出 了 最 常见 的 第 三 方 培训 方式 。 











内 部 安全 培训 

有 培训 经 验 的 安全 顾问 来 公司 并 在 你 指定 的 区 域内 提供 服务 。 你 可 以 根据 员工 需要 的 信 
息 类 型 ， 将 反馈 提供 给 培训 师 。 因 此 ， 你 可 以 在 一 定 程度 上 定制 培训 内 容 ， 并 且 在 一 般 
性 信息 和 与 公司 相关 的 信息 之 间 获 得 更 好 的 平衡 。 此 外 ， 员 工 可 以 在 熟悉 的 工作 环境 中 
使 用 他 们 平时 使 用 的 工具 进行 学 习 。 这 个 方式 的 一 个 缺点 是 你 必须 提供 培训 场地 ， 并 且 
这 个 场地 要 大 到 足以 容纳 你 希望 参加 培训 的 员工 。 此 外 ， 这 也 是 最 昂贵 的 培训 方式 。 


网 络 学 校 

采用 这 种 方式 时 ， 员 工 通常 可 以 按 他 们 自己 的 速度 接受 培训 ， 这 可 能 意味 着 更 好 的 培训 
效果 。 但 是 ， 这 种 方式 需要 员工 进行 自主 学 习 。 其 好 处 是 它 比 其 他 大 多 数 方案 要 少 花 很 
多 钱 ， 并 且 在 大 多 数 情况 下 可 以 提供 高 质量 的 培训 。 其 缺点 是 员工 不 能 在 课堂 环境 中 学 
习 ， 可 能 在 某 些 情况 下 会 发 现 问 题 难 以 得 到 解答 。 你 还 可 能 发 现 培训 材料 所 受 的 限制 更 多 。 
培训 中 心 

培训 中 心 提供 专门 的 课堂 环境 和 专业 的 安全 培训 师 。 因 此 ， 这 个 方案 能 够 提供 最 好 的 一 
般 性 培训 ， 员 工 可 以 与 培训 师 有 最 好 的 交互 。 培 训 中 心 通常 会 将 培训 班 保持 在 很 小 的 规 
模 ， 这 样 培训 师 可 以 与 每 个 学 生 交流 并 且 能 够 鼓励 他 们 做 到 最 好 。 这 种 培训 的 开销 稍 
大 : 当 培 训 中 心 的 距离 较 远 时 ， 你 可 能 会 发 现 要 为 参加 培训 的 员工 支付 额外 的 开支 。 
学 院 和 大 学 

在 大 部 分 情况 下 ， 员 工 获 得 的 是 与 他 们 在 上 学 时 获得 的 同样 水 平 的 培训 。 但 是 ， 课 堂 可 
能 会 很 拥挤 ， 老 师 可 能 会 不 堪 重 负 ， 材 料 可 能 已 过 时 。 在 某 些 情 况 下 ， 这 种 方式 是 免费 
的 ， 或 者 只 需要 支付 所 需 的 课堂 材料 。 其 缺点 是 学 校 开办 的 课程 是 最 适用 于 学 校 的 ， 而 
不 是 你 的 公司 ， 所 以 你 最 终 可 能 会 失去 参加 培训 的 员工 。 









































你 可 能 无 法 找到 最 完美 的 第 三 方 培训 方式 ， 但 通常 可 以 找到 最 适合 的 一 个 。 你 的 目标 是 要 
在 你 能 支付 的 范围 内 找到 所 需 的 培训 级 别 (或 者 尽 可 能 接近 的 级 别 )。 接 下 来 看 看 第 三 
培训 师 如 何 帮 助 你 的 员工 获得 所 需 培 训 。 





某 些 级 别 的 培训 会 提供 内 部 培训 师 无 法 提供 的 证 书 。 证 书 可 能 对 你 的 公司 没 
有 意义 ， 但 它 可 以 用 于 向 潜在 的 客户 证 明 你 的 员工 接受 过 必需 的 安全 培训 。 
拥有 证 书 让 你 对 某 些 客户 更 有 吸引 力 并 且 可 以 提高 业绩 ， 从 而 赚 回 花 在 培训 
上 的 钱 。 














17.2.1 指定 培训 的 要 求 

在 与 第 三 方 打交道 时 ， 你 仍然 需要 执行 17.1.1 节 和 17.1.2 节 所 描述 的 那些 任务 。 但 是 ， 你 
现在 必须 为 根本 不 了 解 公司 文化 和 需求 的 人 执行 这 些 任务 。 为 了 获得 所 需 的 培训 要 求 ， 必 
须 提供 一 份 蓝 图 给 提供 培训 服务 的 人 或 机 构 。 任 何 涉及 寻找 和 查询 第 三 方 培训 师 以 及 与 之 
交互 的 员工 都 必须 完全 理解 培训 的 要 求 并 清楚 地 传达 。 否 则 员工 接受 的 培训 不 会 有 效 ， 并 
旦 你 会 继续 遇 到 本 来 可 以 通过 适当 的 培训 避免 的 安全 问题 。 以 下 清单 描述 了 在 与 第 三 方 培 
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训 师 交流 时 应 该 考虑 的 事项 。 

。 讨论 培训 时 间 以 确保 培训 师 能 为 公司 提供 服务 
。 指定 培训 场地 
。 确保 培训 师 确 实 能 提供 所 需 的 服务 
。 确认 培训 师 有 适当 的 资格 证 书 
。 为 了 获得 想 要 的 结果 ， 创 建 培训 师 需求 清单 
。 获得 所 需 的 特殊 设备 的 清单 


第 三 方 培训 师 和 培训 机 构 能 够 提供 的 价值 各 不 相同 。 请 确保 你 获得 承诺 的 
服务 要 有 书面 记录 并 且 要 对 获得 的 培训 服务 进行 记录 以 证 明 其 已 完成 。 如 
果 有 可 能 ， 花 时 间 与 他 们 以 前 的 客户 交谈 以 发 现 潜在 的 问题 。 当 然 ， 培 训 
师 推 荐 的 人 几乎 都 会 讲 正面 的 事情 ， 因 为 他 们 很 可 能 有 正面 的 体验 。 尽 管 
如 此 ， 通 过 仔细 与 过 去 的 客户 交流 ， 你 还 是 能 获得 足够 的 信息 以 作出 正确 
的 判断 。 与 任何 其 他 业务 一 样 ， 在 聘请 第 三 方 为 公司 进行 培训 时 保持 谨慎 
是 很 重要 的 。 



































17.2.2 为 公司 聘请 第 三 方 培训 师 

当 聘 请 第 三 方 培训 师 进行 教学 时 ， 你 需要 举行 几 次 会 议 以 确保 培训 师 理解 你 的 需求 并 确认 
你 已 为 培训 师 做 好 所 需 准 备 。 培 训 师 来 到 现场 授课 的 第 一 天 不 应 该 出 现 浪费 大 家 时 间 的 翡 
剧 。 提 前 做 好 功课 会 减少 第 一 天 的 问题 ， 这 样 每 个 人 都 会 有 好 的 开始 。 以 下 是 一 些 在 与 第 
三 方 培 训 师 讨论 时 要 考虑 的 事项 。 


。 讨论 公司 存在 的 安全 问题 并 展示 这 些 问 题 如 何在 公司 内 发 生 。 让 培训 师 准 确 地 知道 在 培 
训 课程 中 哪些 安全 领域 要 处 理 和 强调 ， 这 一 点 很 重要 。 

。 确保 培训 师 理 解 安 全 问题 背后 的 历史 并 知道 你 在 过 去 采取 的 措施 。 这 一 步 确保 培训 师 不 
会 浪费 时 间 去 尝试 你 已 经 尝试 过 或 排除 过 的 事情 。 

。 说 明 培训 师 在 培训 过 程 中 所 受 的 六 在 限制 ， 确 保 员 工 在 接收 到 与 公司 规定 不 符 的 信息 时 
不 会 反感 。 

。 确保 你 挑选 的 培训 地 点 满足 培训 师 的 要 求 。 此 外 ， 检 查 培 训 师 需要 的 设备 类 型 以 及 培训 
师 会 提供 什么 设备 。 

与 访问 公司 的 其 他 客人 一 样 ， 你 需要 确保 培训 师 感 受到 欢迎 ， 但 不 能 自由 访问 敏感 区 域 和 

敏感 信息 。 培 训 师 不 能 以 某 种 方式 凌驾 于 公司 的 安全 要 求 之 上 。 事 实 上 ， 有 些 培训 师 从 事 

该 职业 的 目的 就 是 发 起 社会 工程 学 攻击 。 请 持续 保持 对 第 三 方 培训 师 的 尊敬 ， 但 也 要 保证 

培训 师 受 到 适当 的 监控 ， 这样 你 才能 保证 公司 的 安全 。 


17.2.3 ”利用 网 络 学 校 


网 络 学 校 很 少 提供 定制 化 方案 ， 你 所 看 到 的 课程 就 是 你 能 得 到 的 课程 。 请 确保 网 络 学 校 可 
以 提供 某 些 异 步 方 式 〈 比 如 电子 邮件 ) 来 与 老师 取得 联系 。 要 确保 员工 在 方便 的 时 候 可 以 
联系 上 老师 。 很 重要 的 是 ， 要 认识 到 网 络 学 校 的 交流 是 有 限制 的 ， 所 以 你 可 能 需要 安排 一 
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名 博学 的 员工 随时 提供 帮助 。 

像 之 前 提 到 的 ， 网 络 学 校 的 好 处 是 每 个 人 都 可 以 在 合适 的 地 点 接受 培训 。 但 是 拖延 是 人 的 
天 性 ,许多 人 会 在 最 后 的 时 刻 临时 抱佛脚 。 这 种 形式 的 培训 需要 有 管理 层 的 额外 支持 和 博 
学 员工 的 监控 。 你 应 该 明确 看 到 员工 在 培训 过 程 中 掌握 知识 的 进度 。 否 则 ， 你 需要 怀疑 某 
个 员工 是 否 完整 参与 了 培训 过 程 。 


很 重要 的 是 要 认识 到 ， 不 是 所 有 人 都 能 进行 在 线 学 习 。 人 们 可 以 有 各 种 学 习 
方式 。 事 实 上 ， 某 些 人 在 课堂 上 根本 学 不 好 ， 他 们 需要 实际 操作 的 培训 或 看 
别人 如 何 执行 任务 。 你 可 能 会 发 现 有 些 员工 不 能 进行 在 线 学 习 ， 而 是 要 依靠 
内 部 培训 师 或 其 他 方法 来 获得 所 需 的 培训 。 问 题 并 不 是 某 个 员工 没有 努力 党 
试 ， 而 是 使 用 某 种 培训 方法 时 的 能 力 差异 。 
































17.2.4 依靠 培训 中 心 
只 要 员工 愿意 ， 培 训 中 心 可 以 提供 最 好 的 培训 。 关 键 是 要 记 住 ， 这 种 培训 不 仅 昂 贵 ， 而 且 . 
内 容 也 没有 针对 性 。 培 训 中 心 通过 使 用 脚本 化 的 技术 提供 强化 培训 并 以 此 赚钱 。 这 种 培训 
确实 是 很 好 的 ， 但 员工 必须 愿意 完全 参与 到 这 个 过 程 中 并 在 其 他 时 间 ( 课 后 ) 继续 学 习 。 


为 了 使 这 种 培训 方式 起 效 ， 在 培训 阶段 不 要 指望 从 员工 那里 获得 任何 产 出 。 中 断 只 会 使 员 
工分 心 并 降低 培训 的 效率 (考虑 到 这 些 地 方 的 收费 价格 ， 中 断 真 的 是 非常 昂贵 的 )。 因 为 
培训 的 时 间 和 场所 是 不 可 协商 的 ， 所 以 你 可 能 需要 以 各 种 方式 补偿 员工 以 确保 培训 能 正常 
进行 。 

当 员 工 参 加 完 培训 回来 时 ， 请 确保 完整 测试 他 们 所 获得 的 新 知识 。 此 外 ， 让 员工 就 新 学 到 
的 技能 进行 演讲 通常 对 他 们 是 有 帮助 的 。 这 个 方法 有 助 于 强化 员工 歼 得 的 知识 并 给 其 他 员 
工 传授 新 技术 。 演 讲 属于 17.1.4 市 所 描述 的 交叉 培训 的 范畴 。 你 可 以 使 用 那 一 市 描述 的 其 
他 技巧 确保 从 投入 到 培训 中 心 的 钱 中 获得 最 大 价值 。 


17.2.5 ”利用 本 地 的 学 院 和 大 学 


不 是 每 个 公司 都 有 时 间 、 资 源 或 资金 使 用 这 一 部 分 所 描述 的 各 种 培训 技巧 。 你 的 员工 仍然 需 
要 培训 。 即 使 你 无 法 提供 内 部 培训 和 支付 本 章 列 出 来 的 其 他 培训 方案 ， 但 是 仍然 有 一 个 好 的 
选择 ， 即 支付 本 地 学 院 或 大 学 提供 的 服务 。 根 据 你 所 在 地 区 的 教育 政策 的 不 同 ， 你 可 能 需要 
为 员工 支付 一 定 的 学 费 ， 但 会 发 现 这 比 其 他 的 方案 要 便宜 得 多 。 

学 院 和 大 学 的 教学 不 会 有 立竿见影 的 效果 。 员 工会 按照 统一 的 进度 接受 培训 ， 所 以 这 个 方 
案 不 能 满足 短期 的 培训 需求 。 采 用 这 个 方案 的 员工 可 能 会 上 整个 学 期 或 整个 学 年 的 课 才能 
获得 所 需 的 信息 。 所 以 你 需要 对 这 个 方案 有 先期 计划 。 

这 种 培训 通常 比 去 培训 中 心 更 灵活 。 例 如 ， 员 工 可 能 会 发 现 这 门 课程 在 一 天 内 会 开放 几 
次 ， 并 且 晚 上 也 是 可 以 的 。 尽 管 如 此 ， 你 通常 会 发 现 排 期 并 不 如 本 章 介绍 的 其 他 方案 那样 
灵活 ， 学 校 肯 定 会 优先 满足 自己 的 需求 。 
与 选择 培训 中 心 一 样 ， 请 确保 你 的 员工 可 以 展示 所 学 到 的 知识 并 进行 演讲 以 交叉 培训 其 他 
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员工 。 因 为 培训 的 时 间 很 长 ， 所 以 通常 可 以 在 培训 期 间 分 阶段 做 这 些 事情 。 此 外 ， 较 长 的 
培训 时 间 意 味 着 员工 不 用 匆忙 获取 新 的 技能 ， 而 有 更 好 的 机 会 巩固 知识 ， 因 为 有 更 多 的 时 
间 吸 收 培训 课程 里 的 材料 。 


17.3 ”确保 用 户 有 安全 意识 


每 个 人 都 需要 接受 一 定 级 别 的 培训 以 确保 公司 的 安全 性 。 但 是 ， 用 户 通常 需要 特殊 的 培 
训 ， 因 为 他 们 不 县 备 开发 人 员 在 获取 认证 或 学 校 学 习 时 掌握 的 知识 。 此 外 ， 用 户 缺 乏 开 发 
团队 或 其 他 员工 在 多 年 处 理 安 全 问题 中 积累 的 经 验 。 因 此 ， 为 了 创建 一 个 安全 的 环境 ， 在 
进行 用 户 培训 时 需要 制订 一 些 额 外 的 计划 。 接 下 来 就 如 何 增强 用 户 的 安全 意识 提供 一 些 方 
案 。 

17.3.1 制订 专门 的 安全 培训 

今天 我 们 使 用 的 安全 培训 的 一 个 问题 是 它 不 具有 针对 性 。 你 必须 使 安全 培训 专门 针对 公司 
并 能 反映 公司 的 规定 。 否 则 ， 你 无 法 期 待 员 工会 在 日 常 工 作 中 遵守 这 些 规定 ， 而 结果 通常 
就 是 出 现 本 可 以 通过 遵守 规定 避免 的 安全 漏洞 。 

培训 还 需要 考虑 法 规 或 其 他 要 求 。 不 是 每 个 公司 都 有 相同 的 安全 要 求 。 为 了 让 员工 们 都 知 
道 在 公司 里 要 如 何 安全 地 执行 任务 ， 你 需要 使 他 们 了 解 所 有 会 影响 公司 的 法 规 和 其 他 要 求 。 
重要 的 是 员工 不 仅 要 理解 这 些 内 容 ， 还 要 理解 公司 是 如 何 满足 这 些 要 求 的 。 


另 一 点 也 很 重要 ， 那 就 是 聚焦 公司 具体 的 问题 领域 。 使 用 真实 的 安全 案例 (包括 名 称 、 日 
期 而 有 些 细 市 需要 被 移 除 以 保护 隐私 )。 通 过 聚焦 公司 的 具体 需求 ， 你 可 以 让 培训 更 有 
针对 性 ， 并 且 能 够 确保 员工 看 到 遵守 培训 定义 的 要 求 所 带 来 的 好 处 。 更 重要 的 是 ， 作 为 培 
训 的 一 部 分 ， 可 以 帮助 员工 理解 安全 漏洞 对 他 们 自身 的 影响 。 关 键 是 要 让 员工 理解 在 涉及 
安全 时 遵守 公司 的 指导 原则 对 他 们 个 人 利益 的 影响 。 


17.3.2 ”结合 书面 指南 进行 培训 

没有 人 能 记 住 在 培训 课堂 上 上 听 过 的 每 一 个 词 。 各 种 测试 有 助 于 扩展 记忆 ， 但 那 也 是 有 限 
的 。 除 了 培训 ， 员 工 需 要 书面 的 指导 来 增强 培训 效果 。 事 实 上 ， 你 应 该 将 这 些 书面 指南 当 
作 内 部 培训 的 一 部 分 。 请 确保 书面 指南 能 够 反映 人 们 真正 接受 的 培训 。 当 你 更 新 培训 内 容 
时 ， 也 要 更 新 这 些 指南 。 


每 次 更 新 培训 内 容 时 ， 请 确保 每 个 人 都 收 到 更 新 后 的 指南 副本 。 此 外 ， 不 要 
忽视 已 工作 很 久 的 老 员 工 。 任 何 更 新 都 应 该 包含 对 现 有 员工 也 进行 更 新 后 的 
培训 。 有 些 在 公司 工作 了 很 信 的 员工 会 错过 当前 的 安全 策略 ， 并 且 会 因为 不 
了 解 相关 信息 而 无 意 导 致 安全 漏洞 。 


















































































































































不 要 专注 于 让 书面 指南 言辞 华丽 。 你 需要 的 是 实用 简单 的 公司 策略 指导 。 员 工 没有 时 间 和 
耐心 去 看 充满 华丽 辞 营 和 行 话 的 指南 。 简 洁 地 表述 内 容 会 更 有 效 。 请 记 住 ， 如 今 大 部 分 人 
注意 力 集中 的 时 间 都 不 超过 一 分 钟 ， 所 以 如 果 员 工 在 一 分 钟 之 内 无 法 从 你 创建 的 指南 中 发 
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现 答 案 ， 他 们 就 不 会 使 用 它 。 

书面 指南 要 尽 可 能 短 。 用 越 少 的 语言 传达 重要 的 安全 信息 ， 就 会 有 越 多 的 人 注意 到 它 。 让 
内 容 简 短 并 且 易 于 记 住 。 此 外 ， 请 确保 指南 有 纸 质 版 和 电子 版 。 这 样 做 可 以 让 员工 将 指南 
放 在 其 他 设备 比如 智能 手机 ) 上 ， 并 且 可 以 在 任何 时 候 阅 读 。 


17.3.3 创建 并 使 用 替代 的 安全 提醒 


用 户 有 时 候 会 专注 于 使 用 应 用 程序 而 不 会 考虑 安全 性 ， 除 非 你 提供 适当 的 提醒 机 制 。 例 
如 ， 可 以 创建 带 安 全 提醒 的 海报 并 把 它们 放 在 公共 场所 。 这 个 做 法 看 起 来 像 是 旧 电 影 里 的 
场景 ,但 它 确 实 是 有 效 的 。 将 安全 需求 一 直 摆 在 用 户 的 面前 ， 即 使 是 在 用 户 休 息 的 时 候 ， 
是 一 种 保证 他 们 认识 到 安全 重要 性 的 方法 。 

应 用 程序 也 应 该 包含 安全 提醒 机 制 。 你 不 能 将 它们 变 得 烦人 。 出 现 “你 确定 你 想 要 这 么 做 
吗 ” 的 提醒 之 后 又 出 现 “ 真 的 吗 ” 的 提醒 很 令 人 讨厌 ， 而 用 户 会 包 略 这 些 提 醒 。 一 种 给 出 
安全 提醒 的 有 效 手段 是 在 每 天 打开 应 用 程序 时 出 现 “ 今 日 提示 ”。 不 是 每 一 个 提示 都 要 聚 
焦 于 安全 。 有 时 候 你 可 以 加 入 一 些 有 趣 的 提醒 。 关 键 是 要 让 用 户 去 猜 猜 提醒 的 内 容 ， 这 样 
他 们 才 会 继续 看 这 些 提 醒 。 


曾经 有 一 个 富有 创造 性 的 安全 管理 员 ， 他 有 时 候 会 举行 一 些 竞 赛 ， 比 如 “第 
一 位 找 出 给 别人 密码 时 对 应 的 正确 安全 原则 的 人 将 在 午餐 时 获得 免费 比 陀 ”。 
这 种 竞赛 不 会 经 常 举行 ， 并 且 几 乎 不 会 花费 管理 层 任何 开支 ， 但 会 使 员工 注 
意 到 安全 提醒 并 极 大 提升 公司 的 安全 性 。 在 使 人 们 持续 学 习 安 全 性 知识 方面 
的 创造 性 是 使 企业 保持 应 用 程序 及 其 数据 安全 的 关键 。 





















































IT 人 员 还 应 该 接受 人 际 关系 方面 的 培训 。 在 获得 员工 关注 和 合作 方面 的 一 个 大 问题 是 全 
人 员 似 乎 让 大 家 都 觉得 自己 像 傻瓜 。 如 果 你 经 常 告诉 某 些 人 他 们 是 傻瓜 ， 他 们 可 能 会 相信 
你 并 开始 表现 得 像 傻瓜 。 与 不 断 地 跟 员工 说 他 们 无 法 理解 安全 问题 相 比 ， 正 面 的 强化 和 用 
积极 的 态度 帮助 他 们 确实 会 取得 更 好 的 结果 。 


17.3.4 ”进行 培训 有 效 性 检查 

你 可 能 会 发 现 尝试 让 员工 关注 安全 的 各 种 方法 都 不 奏效 。 当 然 ， 问 题 在 于 要 和 弄 清楚 如 何 改 
变 ， 从 而 使 安全 性 得 到 提升 。 首 先 需 要 知道 ， 安 全 并 非 刀枪 不 入 ， 你 能 做 的 就 是 尽 可 能 地 提 
升 安全 性 并 且 处 理 每 一 个 新 出 现 的 威胁 。 但 是 ， 你 可 以 尽量 接近 完美 。 要 达到 这 一 点 ， 一 
部 分 工作 就 是 检查 你 所 使 用 的 各 种 方法 的 有 效 性 。 使 用 本 书 介绍 过 的 各 种 技巧 (特别 是 15.4 
节 中 提 到 的 技巧 ) 统计 什么 有 效 和 什么 无 效 。 要 确定 的 就 是 潜在 安全 问题 的 原因 。 

这 些 安全 问题 会 使 你 更 了 解 培训 是 否 有 效 。 你 也 能 用 本 章 介 绍 的 技巧 随机 测试 员工 。 这 里 
的 关键 不 是 要 找 出 哪些 员工 失职 ， 而 是 要 发 现 当 前 的 培训 策略 在 何 处 未 达到 预期 效果 。 当 
你 发 现 这 些 问 题 时 ， 需 要 考虑 如 何 最 好 地 传达 所 需 的 信息 ， 鼓 励 大 家 遵守 规则 ， 并 且 确 保 
对 故意 不 遵守 流程 的 行为 进行 的 处 罚 得 以 实施 。 但 是 ， 重 点 要 一 直 放 在 用 更 好 的 培训 来 确 
保 人 们 真正 明白 什么 是 必需 的 。 

























































































250 | 第 17 章 


关于 作者 

John Mueller 是 一 位 自由 撰 稿 人 和 技术 编辑 。 他 的 血液 里 流 消 着 写作 基因 ， 到 目前 为 止 ， 
他 已 经 写 了 99 本 书 和 600 多 篇 文章 ,主题 从 网 络 到 人 工 智能 ， 从 数据 库 管 理 到 埋头 编程 。 
他 近期 出 版 的 图 书 中 包括 一 本 面向 Python 初学 者 的 书 、 一 本 面向 数据 科学 家 的 关于 Python 
的 书 ， 以 及 一 本 关于 MATLAB 的 书 。 他 还 写 了 一 个 Java 在 线 学 习 套 件 、 一 本 关于 使 用 
JavaScript 进行 HTMLS5 开发 的 书 ， 以 及 一 本 关于 CSS3 的 书 。 他 利用 技术 编辑 技能 帮助 60 
多 位 作者 完善 了 手稿 内 容 。John 为 Data Based Advisor 和 Coast Compute 两 本 杂志 提供 了 技 
术 编 辑 服 务 。 请 一 定 要 阅读 他 的 博客 http://blog.johnmuellerbooks.com/。 


当 John 不 在 电脑 前 工作 时 ， 你 可 以 在 花园 里 找到 他 ， 他 会 在 砍 树 ， 或 者 通常 是 在 享受 大 自 
然 。 他 还 喜欢 酿酒 、 烘 烤 饼 干 和 编织 。 在 没有 其 他 事情 时 ， 他 会 做 甘油 肥皂 和 蜡烛 ， 这 可 
以 在 送礼 品 得 时 派 上 用 场 。 你 可 以 通过 电子 邮件 john@johnmuellerbooks.com 在 网 上 联系 上 
John。John 还 搭建 了 一 个 网 站 http:/www.johnmuellerbooks.com/。 请 随意 访问 并 提出 改进 
建议 。 


天 于 封面 

本 书 封 面 上 的 动物 是 一 只 元 敬 ( 胡 天 营 ) ， 也 称 为 野 元 座 或 鱼 唐 。 元 昔 是 一 种 猛禽 ， 吃 腐 
肉 ， 生 活 在 欧洲 南部 山区 、 高 加 索 地 区 、 非 洲 、 印 度 次 大 陆 和 西藏 。 

作为 清道 夫 ， 胡 元 警 要 靠 吃 死去 动物 的 遗 瞬 来 生存 。 但 是 ， 比 起 吃 肉 ， 这 种 乌 更 喜欢 吃 骨 
散 ， 这 占 到 了 它们 食物 的 85%~90%。 偶 尔 ， 胡 无 警 会 攻击 活 的 动物 ， 并 且 它 们 似乎 偏爱 
乌 鱼 。 人 们 已 观察 到 它们 会 抓 岛 龟 ， 把 乌龟 带 到 高 空 ， 然 后 扔 下 去 ， 把 危 壳 摔 碎 ， 并 吃 里 
面 柔软 的 身体 。 


胡 元 葛 体 长 37~49 英寸 ,体重 可 以 达到 18 磅 。 肉 性 通常 比 雄 性 略 大 ， 而 成 对 的 胡 元 昔 有 
助 于 建造 巨大 (可 以 高 达 3.3 英尺 ) 的 巢 。 锋 长 的 翅膀 使 它们 很 容易 区 别 于 其 他 的 先 营 。 
胡 元 蕊 也 没有 许多 其 他 秃 营 有 的 秃头 ， 并 且 这 个 物种 得 名 于 下 巴 下 面 长 长 的 黑色 羽毛 。 


胡 元 葛 的 巨大 体型 和 雄伟 的 姿态 使 其 在 许多 社会 的 神话 中 占有 一 席 之 地 。 对 于 伊朗 人 来 
说 ， 这 种 鸟 是 幸运 和 快乐 的 象征 ， 人 们 相信 如 果 某 人 在 它 的 阴影 下 面 就 预示 着 这 个 人 可 以 
获得 王权 。 据 说 ， 古 希腊 剧 作 家 埃 斯 库 罗 斯 的 死因 是 一 头 “ 老 镶 ” 将 乌龟 扔 到 了 他 的 头 
上 ， 这 头 “ 老 镶 ” 误 把 他 乱 顶 的 头 当 作 一 块 石头 。 结 合 地 区 、 时 期 和 行为 ， 胡 元 营 很 可 能 
就 是 故事 中 的 “ 老 镶 ”。 在 希腊 ， 胡 元 敬 是 用 来 预测 未 来 的 少数 几 种 鸟 类 之 一 ， 这 种 行为 
被 称 为 占卜。 最 后 ， 在 圣经 和 律 法 里 ， 胡 元 敬 属于 禁止 人 类 食用 的 乌 类 。 

许多 O'Reilly 图 书 封面 上 的 动物 都 是 濒危 动物 ， 它 们 对 世界 很 重要 。 想 获取 更 多 关于 如 何 
帮助 它们 的 信息 ， 请 访问 网 站 http://animals.oreilly.com。 
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